美国西部时间2021年5月17日,RSA2021大会第一天,MITRE首席信息安全官WilliamHill和StanleyBarr博士发表了题为“APrimer:GettingStartedwithMITREShield”的演讲.作为知名的MITREATT&CK知识库的后起之秀,连MITRE官方都亲切地称其为ATT&CK的“小表弟”。MITREShield的再现引起了业界的广泛关注。作为业内较早深入研究并积极探索ATT&CK应用的安全厂商,山石网科早在2019年就关注了MITRE中一个名为Engagement团队的团队,正是这个团队成立了MITREShield.2020年8月,MITRE正式发布了Shield介绍。MITREShield和ATT&CK视角的区别MITREATT&CK是一个关于攻击策略和攻击技术的知识库,于2013年发布并持续更新。它从攻击者的角度展示了发起攻击所涉及的战术、技术、子技术、流程等要素。经过数次重大改进和更新,最新的ATT&CK知识库包括Enterprise企业版、Mobile移动版和ICS工控版。其中,企业版涵盖14种攻击策略、185种攻击技术、367种种子技术、42种缓解措施,隆重推出全新的容器技术攻击矩阵(注:数据来自MITRE官网,2021年4月27日更新)).与ATT&CK的视角不同,MITREShield知识库是站在防御者的角度,从防御战术和防御技术入手,构建类似于ATT&CK的矩阵。目前最新版本的Shield有8种防御战术(防御者需要完成的目标,包括引导、收集、牵制、检测、打断、提升、合法化、测试),34种防御技术(防御所涉及的技术)完成目标))。从整个盾牌矩阵来看,它包含了主动防御所需要的最基础的技术,包括网络基础防御、网络欺骗和对抗行为。它不仅可以帮助防御者更好地应对当前的攻击,还可以帮助他们更好地了解攻击者,为未来新的攻击做好准备。图注:MITREShield矩阵示意图MITREShield的最新进展在RSA2021大会上,MITRE的StanleyBarr博士介绍了Shieldv2.0版本的改进思路,包括防御方法论的优化,数据收集和检测能力的加强,和改进防御计划的制定和分析,改进防御技术,如拦截、引导和干扰。此外,对于Shield发布以来安全社区提出的一些建议,Stanley博士也直言会在新版本中充分考虑并做出改进。HillstoneNetworks致力于推动MITREShield在业界的落地和应用。由于MITREATT&CK被各大厂商广泛用于测试现有安全能力的不足,补充缺失的安全能力,因此MITRE在Shield和ATT&CK之间形成了映射关系。下面是每种攻击技术和相应的主动防御技术的示例。在攻防关系映射表中,我们可以看到每个ATT&CK的攻击技术(如T1589),以及Shield的防御技术(DTE0010和DTE0015)。同时有OpportunitySpace和UseCase两个栏目,一栏表达检测攻击技术的机会,一栏描述具体的防御使用场景描述。图注:MITRE攻防关系映射表通过对标ATT&CK的TTP来描述各种防御技术,可以加速安全厂商构建安全能力的进程。值得一提的是,这些防御技术是根据红蓝对抗演练和实际运维经验提炼出来的,具有很强的现实意义。HillstoneNetworks在内网威胁检测系统上使用蜜罐、低交互欺骗技术等主动防御技术有很好的实践。随着MITRE对Shield知识库的不断补充和完善,我们相信这一知识框架将对企业网络安全防御解决方案进行系统化、高层次的指导。
