近日,MITRE推出了用於主動防御的實戰型指導框架——MITRE Shield。該框架是基於對真實攻防對抗環境所涉及主動防御戰術、技術提煉而成的知識庫。從抽象角色來看,ATT&CK是站在攻擊視角提煉而成,Shield則是站在防守視角。顧名思義,Shield動詞表示保護免受威脅和風險,作為名詞使用也有防御意思。
眾所周知,主動防御是改變攻防雙方天平不對等最佳實踐辦法之一。目前,Shield擁有8個戰術(防守方需要完成目標,包括Channel、Collect、Contain、Detect、Disrupt、Facilitate、Legitimize、Test),34項技術(防守方完成目標所涉及的技術)。目前從整個Shield矩陣來看,囊括了主動防御所需的最基礎防守方戰術和技術,包括基本網絡防御、網絡欺騙和對抗行為。這不僅可以幫助防守者更好應對當前的攻擊,而且能夠更多地了解攻擊者,為未來新的攻擊做好准備。
(MITRE Shield鏈接:https://shield.mitre.org/matrix/)
圖1:Shield矩陣框架圖
點擊打開每一項防守技術詳情頁面,都包含了防守方通過該技術進行主動防御所涉及的詳細內容,包括ATT&CK的TTP與Shield之間的映射關系。如下圖所示,Shield框架的“Channel”戰術下“Decoy Account(DTE0010)”技術,可以用來主動防御ATT&CK框架中T1078(Valid Accounts)、T1087(Account Discovery)、T1098(Account Manipulation)三個攻擊技術。
圖2:Shield與ATT&CK之間映射關系
如果點開上圖右側ATT&CK具體Tactics,則會顯示該戰術所應對每項攻擊技術對應主動防御技術,如下圖所示即為ATT&CK TA0005(Defense Evasion)戰術所對應攻擊技術與Shield防御技術的映射情況。此外,Opportunity Space這一列重點表述了檢測該項攻擊技術的機會點,Use Case這列則重點說明了具體防御使用場景的描述,如下圖T1070 - Indicator Removal on Host。
圖3:Shield矩陣中“OpportunitySpace”與“Use Case”關系
總得來說,ATT&CK和Shield聯合使用,可以幫助防守者更加深入了解攻擊者行為、攻擊活動、助力其構建更加積極主動防御策略。