美国西部时间2021年5月17日,即RSA 2021大会开幕的第一天,来自MITRE的首席信息安全官William Hill和Stanley Barr博士做了题为“A Primer: Getting Started with MITRE Shield”的演讲。
作为大名鼎鼎的MITRE ATT&CK知识库的后起之秀,连MITRE官方都亲切称之为ATT&CK的“年轻小表弟”,MITRE Shield的再次亮相受到了业界的广泛关注。作为行业内较早深度研究并积极探索应用ATT&CK的安全厂商,山石网科早在2019年就开始关注到MITRE里一支称为Engagement team的团队,正是这个团队建立了MITRE Shield。2020年8月,MITRE官方正式发布了对Shield的介绍。
MITRE Shield与ATT&CK的视角差异
MITRE ATT&CK是2013年发布并持续更新的关于攻击战术、攻击技术的知识库,从攻击者视角展示了发起攻击所涉及到的战术、技术、子技术、过程等元素。经过几次较大的改进更新,最新的ATT&CK知识库包含了Enterprise企业版、Mobile移动版、ICS工控版。其中,企业版涵盖了14种攻击战术、185种攻击技术、367种子技术、42种缓解措施,并且隆重推出了全新的针对容器技术的攻击矩阵(注:数据来源于MITRE官网,2021年4月27日更新)。
与ATT&CK视角不同的是,MITRE Shield知识库是防御者视角,从防御战术、防御技术入手,构建了类似于ATT&CK一样的矩阵。目前,最新版本Shield拥有8个防御战术(防御方需要完成的目标,包括引导、收集、遏制、检测、中断、促进、合法化、测试)、34项防御技术(防御方完成目标所涉及的技术)。从整个Shield矩阵来看,包括了主动防御所需的最基础技术,包括基本网络防御、网络欺骗和对抗行为。不仅帮助防御者更好应对当前的攻击,还有助于更深入地了解攻击者,为未来新的攻击做好防御准备。
图注:MITRE Shield矩阵示意图
MITRE Shield的最新进展
在RSA 2021大会上,MITRE的Stanley Barr博士介绍了Shield v2.0版本的改进思路,包括防御方法论的优化、加强收集数据和检测能力、完善防御的规划制定与分析、提高阻断、引导、干扰等防御技术。另外,对于Shield发布以来安全社区提出的一些建议,Stanley博士也直言会充分考虑并在新版本中进行改进。
山石网科致力于推进MITRE Shield在行业中的落地与应用
由于MITRE ATT&CK被各大厂商广泛用于检验现有安全能力的不足,以补充缺失的安全能力,MITRE将Shield与ATT&CK形成映射关系,对应一下每项攻击技术和相应的主动防御技术的例子。在攻防关系的映射表里,我们可以看到针对每项ATT&CK的攻击技术(如T1589),可以找到Shield的防御技术(DTE0010和DTE0015)。同时还有两列,Opportunity Space和Use Case,一是表述了检测该项攻击技术的机会点,另一个说明了具体防御使用场景描述。
图注:MITRE攻防关系映射表
通过对标ATT&CK的TTPs来描述各种防御技术,能够加速安全厂商安全能力的建设过程。值得一提的是,这些防御技术是基于红蓝对抗演习和实际运维经验提炼出来的,有很强的现实意义。
山石网科在利用主动防御技术上面有过很好的实践,如在内网威胁检测系统上的蜜罐和低交互的欺骗技术。随着MITRE在Shield知识库的不断补充和完善,我们相信这个知识框架会给予企业网络安全防御方案上系统化、高层次的指导。
文章来源网络,作者:运维,如若转载,请注明出处:https://shuyeidc.com/wp/122018.html<
