MITRE 发布公开可用的 “Shield” 主动防御框架

Andrew 2020-08-25
专栏 - 资讯 发布于 2020-08-25 11:23:56 阅读 130 评论 0

免费知识库提供了防御网络攻击的技术和策略,以参与和更好地防御网络入侵者。

MITRE公司已经发布了一个新的指南目录措施,组织可以采取这些措施来主动与网络中的入侵者互动并进行反击。

就像MITRE广泛使用的ATT&CK框架(提供攻击者行为的完整列表)一样,联邦资助的组织的新的Shield是一个公开可用的知识库,这是一次主动防御的技术和策略。

MITRE的 CISO Bill Hill 表示,核心重点是向安全从业者通报敌方的参与,或者与网络入侵者进行互动,并弄清楚如何对他们进行更积极的防御。

“当补丁,防火墙,IDS等非交互防御失败或完全绕过时,我们可以学到什么以及如何改进?”。“敌我接触”就是“了解我们的敌人如何攻击我们,他们使用什么工具,在我们的系统上建立beachhead后会做什么,甚至可能了解他们想从我们这里得到什么。”

MITRE的新Shield框架以矩阵格式显示信息,类似于ATT&CK。该矩阵由八列组成,每列列出了不同的策略(例如,检测,破坏,包含和收集),安全从业人员可以使用这些策略来防御网络上的入侵者。行或每个单元格中的超链接数据描述了防御者可以用来实现这些策略中的每一个的实际技术。

例如,在“检测”列下的各个单元格中列出的技术包括API监视,行为分析,电子邮件操作以及诱骗帐户,网络和凭据的创建。同样,MITRE推荐的用于阻止对手的技术包括基准系统,系统隔离和硬件以及软件操纵。通过单击每个单元,安全专业人员可以获取有关每种技术的更多信息,包括它们的用例。

MITRE的新 Shield 主动防御框架确定了防御者通过主动承担并与网络上的入侵者互动而学习的机会。Hill 说:“我们认为,敌对行动不仅会带来挑战,还会给防御者带来机会。” “我们认为这些机会是防御者可以采取’主动’防御措施以改变游戏规则的实例。”

例如,通过创建诱饵帐户,组织可以诱使对手采取一些行动,以揭示有关其战术和工具的信息。同样,根据MITRE的说法,通过在目标系统上植入诱饵凭据(例如假用户名,密码和浏览器令牌),防御者可以在对手访问特定资源或使用特定技术时获得警报。

MITRE已将其ATT&CK框架中包含的攻击后对手的行为映射到Shield中的相关防御技术。因此,通过单击ATT&CK中的特定对手行为,防御者可以迅速采用MITRE推荐的应对特定行为的策略和技术。

MITRE首席网络情报战略家 Christina Fowler 说:“将Shield中的技术视为主动防御的基础。” 其中一些是基本且平易近人的,而另一些则更为复杂。“每个构建模块都可以单独使用,也可以添加到其他构建模块中,以实现更复杂的功能。防守者可以从最基本的开始,按照他们的意愿和资源去做。”

Fowler说,Shield框架的创建是由MITRE在过去十年中使用主动防御技术的积极经验所促成的。

本作品采用《CC 协议》,转载必须注明作者和本文链接
讨论数量: 0
(= ̄ω ̄=)··· 暂无内容!
请勿发布不友善或者负能量的内容。与人为善,比聪明更重要!