MITRE ATT&CK 描述了攻击的不同阶段，源自 Cyber​​ Kill Chain 模型，然后指出了每个阶段的主要任务。最后，它描述了用于每个任务的常见 TTP 列表。

建立指标以在任何这些阶段捕获攻击者都是有用的，因为它主要描述了技术库和攻击的一般流程。

它不能很好地捕捉到攻击者将要利用哪些漏洞以及一般攻击类别。这就是 STRIDE 和其他威胁建模技术所做的，通常采用更加以系统为中心的方法。

来自 A. Shostack 的“威胁建模：安全设计”：

当你建立威胁模型时，你通常使用两种类型的模型。有一个你正在构建的模型，还有一个威胁模型（可能会出现什么问题）。

尽管 STRIDE 并没有真正对系统进行建模，但它确实提供了一些广泛的攻击类别，这些攻击与特定阶段或特定版本无关（如 ATT&CK 描述的详细 TTP）。

此外，但这更多是我个人的考虑，像 STRIDE 这样的通用威胁建模方法可以很容易地适应不仅考虑 IT 安全，而且考虑整个信息安全。

ATT&CK 和 STRIDE 都很有用，但用途略有不同。

让我在这里添加一点@a-darwin 所说的内容。

您绝对可以在适当的情况下使用 ATT&CK 进行威胁建模。

• ATT&CK 是一个非常精细的模型，用于描述攻击者入侵后的行为。
• STRIDE 是攻击者破坏软件的通用模型。

如果您试图威胁模型的是一个操作系统，由 Windows 桌面、ipad、带有数据库的 LAMP 堆栈和所有相关位组成，那么 ATT&CK 将为您提供有关攻击者将做什么以及如何检测的有用见解你系统中的那个攻击者。

STRIDE 的开发着眼于真正的漏洞，其优势之一是该模型已经持续了 20 年。它的寿命远不如ATT&CK那么具体。