在特定阶段，攻击面评估还可以利用采取更严格的控制措施来降低入侵风险，以有限的成本获得最大的入侵难度提高，具有较高的投资回报。举例来说，获得VPN通道，相当于突破了企业传统的保护边界，直接获得了内网漫游的权限。特殊情况下，利用加强VPN保护，还可以大大降低攻击者入侵成功的可能性。突破性VPN主要有两种方法，即使用VPN服务器本身的漏洞或者利用合法的VPN账户入侵。对第一种方法，关注VPN厂商的漏洞披露信息，做好补丁升级管理，还可以有效降低大部分威胁；对于使用0day漏洞攻击VPN获得远程控制访问限制的情景，利用VPN本身日志审计的方法，关联VPN账户新建、变更和VPN服务器本身发起的访问内网流量，也可以及时发现未知的漏洞；对于使用0day漏洞攻击VPN账户体验证的复杂性要求，还可以在手机上进行为手机上进行修改。

ATT&CK架构中的全部攻击技术都是有相对应的攻击目的和实行攻击所需要的环境和依赖性。分解还可以提取适用于每种攻击技术的攻击对象，参考企业内的资产和服务，评估攻击表面的暴露和风险水平，有助于制定有效的攻击表面缩小、消除或监控手段。例如防守方须要在红蓝对抗前检查企业内部的共享目录、网络存储器、BYOD设备是不是符合安全基线要求，是不是有敏感信息，并对于这种内容设置合规要求和强制措施，以减少攻击表面的暴露。

综合上面的分析我们可以看出，ATT&CK架构还可以帮助防御者掌握攻击目标，提取攻击面，制定减少攻击面的手段。同时，它还能够利用攻击面评估为后续增强威胁感知、汇总防御差别、制定改进方案提供参考标准。建立威胁感知系统。传统安全防护和控制措施的主要问题是没有全景威胁感知系统，无法及时有效地监控威胁事件、安全风险和入侵过程。威胁感知系统的建立还可以有效地将孤立的安全防御和安全审计方法联系起来，形成完整的企业安全形势，为防守方实现实时威胁监控、安全分析和响应处理提供基础。建立威胁感知系统主要包括以下准备:

1.数据源整理:数据是实现安全可见性的基本要素，缺乏多维度和高质量的数据会严重影响监控覆盖面；同时，许多企业会存储大量的设备、系统和业务日志数据，以满足网络安全法、等保标准等法律和标准要求。因此，在数据源的规划和管理中，威胁驱动的数据源需求和合规驱动的日志数据保存存存在许多匹配度低、使用率低、效率低的问题，须要防守方来解决。