MITRE 發布公開可用的 “Shield” 主動防御框架

免費知識庫提供了防御網絡攻擊的技術和策略,以參與和更好地防御網絡入侵者。

MITRE公司已經發布了一個新的指南目錄措施，組織可以采取這些措施來主動與網絡中的入侵者互動并進行反擊。

就像MITRE廣泛使用的ATT＆CK框架（提供攻擊者行為的完整列表）一樣，聯邦資助的組織的新的Shield是一個公開可用的知識庫，這是一次主動防御的技術和策略。

MITRE的 CISO Bill Hill 表示，核心重點是向安全從業者通報敵方的參與,或者與網絡入侵者進行互動，并弄清楚如何對他們進行更積極的防御。

“當補丁，防火墻，IDS等非交互防御失敗或完全繞過時，我們可以學到什么以及如何改進？”。“敵我接觸”就是“了解我們的敵人如何攻擊我們，他們使用什么工具，在我們的系統上建立beachhead后會做什么，甚至可能了解他們想從我們這里得到什么。”

MITRE的新Shield框架以矩陣格式顯示信息，類似于ATT＆CK。該矩陣由八列組成，每列列出了不同的策略（例如，檢測，破壞，包含和收集），安全從業人員可以使用這些策略來防御網絡上的入侵者。行或每個單元格中的超鏈接數據描述了防御者可以用來實現這些策略中的每一個的實際技術。

例如，在“檢測”列下的各個單元格中列出的技術包括API監視，行為分析，電子郵件操作以及誘騙帳戶，網絡和憑據的創建。同樣，MITRE推薦的用于阻止對手的技術包括基準系統，系統隔離和硬件以及軟件操縱。通過單擊每個單元，安全專業人員可以獲取有關每種技術的更多信息，包括它們的用例。

MITRE的新 Shield 主動防御框架確定了防御者通過主動承擔并與網絡上的入侵者互動而學習的機會。Hill 說：“我們認為，敵對行動不僅會帶來挑戰，還會給防御者帶來機會。” “我們認為這些機會是防御者可以采取’主動’防御措施以改變游戲規則的實例。”

例如，通過創建誘餌帳戶，組織可以誘使對手采取一些行動，以揭示有關其戰術和工具的信息。同樣，根據MITRE的說法，通過在目標系統上植入誘餌憑據（例如假用戶名，密碼和瀏覽器令牌），防御者可以在對手訪問特定資源或使用特定技術時獲得警報。

MITRE已將其ATT＆CK框架中包含的攻擊后對手的行為映射到Shield中的相關防御技術。因此，通過單擊ATT＆CK中的特定對手行為，防御者可以迅速采用MITRE推薦的應對特定行為的策略和技術。

MITRE首席網絡情報戰略家 Christina Fowler 說：“將Shield中的技術視為主動防御的基礎。” 其中一些是基本且平易近人的，而另一些則更為復雜。“每個構建模塊都可以單獨使用，也可以添加到其他構建模塊中，以實現更復雜的功能。防守者可以從最基本的開始，按照他們的意愿和資源去做。”

Fowler說，Shield框架的創建是由MITRE在過去十年中使用主動防御技術的積極經驗所促成的。