戰術、技術與程序

戰術、技術與程序（TTPs）是一套源自軍事情報分析，現廣泛應用於網路安全領域的威脅行為模型。它將攻擊者的行動分解為三個層次：戰術（Tactics）是攻擊的最終目標，如初始入侵、橫向移動；技術（Techniques）是達成該目標所使用的方法，如釣魚郵件、利用遠端服務；程序（Procedures）則是執行技術的具體步驟與工具，例如使用特定惡意軟體或指令。國際權威框架 MITRE ATT&CK® 正是基於 TTPs 建立的知識庫。相較於傳統的IP位址、惡意檔案雜湊值等「入侵指標」（IoCs），TTPs 專注於描述攻擊者的「行為模式」，更難被輕易改變，因此能提供更持久、更具前瞻性的防禦視野。依據 NIST SP 800-53 等標準，整合 TTPs 分析有助於強化威脅監控與事件應變能力，是建立主動式防禦體系的基石。

在企業風險管理中，應用TTPs的核心是建立「威脅導向的防禦」（Threat-Informed Defense）。具體導入步驟如下：第一步，威脅情資整合，企業應利用 MITRE ATT&CK® 框架或商業情資，識別與自身產業與地區相關的高風險威脅行為者及其常用TTPs。第二步，防禦差距分析，將這些TTPs對應到現有的資安監控與防護措施（如SIEM、EDR），評估偵測覆蓋率，找出防禦盲點。第三步，威脅模擬與驗證，透過攻擊與入侵模擬（BAS）平台或紅隊演練，實際模擬攻擊者的TTPs，驗證防禦控制的有效性。例如，台灣某金融機構曾模擬駭客組織APT41的TTPs，成功發現其核心系統的防禦缺口。導入後，可量化的效益包括：ATT&CK®偵測覆蓋率提升超過40%、平均偵測時間（MTTD）縮短30%，並能有效符合歐盟DORA法規對於威脅導向滲透測試（TLPT）的合規要求。

台灣企業導入TTPs主要面臨三大挑戰：首先是「在地化情資匱乏」，多數國際情資平台缺乏針對台灣特定產業的攻擊TTPs，導致防禦無法聚焦。其次是「專業人才短缺」，熟悉威脅獵捕、紅隊演練與TTPs分析的專家難尋，內部團隊難以獨力完成。最後是「資源與工具限制」，中小企業預算有限，難以負擔昂貴的商業情資訂閱與自動化驗證工具。為克服這些挑戰，建議的對策如下：針對情資問題，應積極參與產業ISAC（資訊分享與分析中心），並與積穗科研等在地顧問合作，獲取客製化情資。針對人才缺口，可透過委外MDR（託管式偵測與回應）服務或顧問輔導，逐步進行知識轉移與內部培訓。在資源方面，可從MITRE CALDERA™等開源攻擊模擬工具著手，優先針對關鍵業務系統相關的TTPs進行防禦強化，分階段投入資源。預期在6個月內可完成初步的差距分析與防禦能力提升。

積穗科研股份有限公司專注台灣企業戰術、技術與程序（TTPs）相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact