标签：CK 10 Shield TOP RSAC 技术 ATT 防御 MITRE

美国西部时间2021年5月17日，即RSA 2021大会开幕的第一天，来自MITRE的首席信息安全官William Hill和Stanley Barr博士做了题为“A Primer: Getting Started with MITRE Shield”的演讲。

 

作为大名鼎鼎的MITRE ATT&CK知识库的后起之秀，连MITRE官方都亲切称之为ATT&CK的“年轻小表弟”，MITRE Shield的再次亮相受到了业界的广泛关注。作为行业内较早深度研究并积极探索应用ATT&CK的安全厂商，山石网科早在2019年就开始关注到MITRE里一支称为Engagement team的团队，正是这个团队建立了MITRE Shield。2020年8月，MITRE官方正式发布了对Shield的介绍。

MITRE Shield与ATT&CK的视角差异

MITRE ATT&CK是2013年发布并持续更新的关于***战术、***技术的知识库，从***者视角展示了发起***所涉及到的战术、技术、子技术、过程等元素。经过几次较大的改进更新，最新的ATT&CK知识库包含了Enterprise企业版、Mobile移动版、ICS工控版。其中，企业版涵盖了14种***战术、185种***技术、367种子技术、42种缓解措施，并且隆重推出了全新的针对容器技术的***矩阵（注：数据来源于MITRE官网，2021年4月27日更新）。

 

与ATT&CK视角不同的是，MITRE Shield知识库是防御者视角，从防御战术、防御技术入手，构建了类似于ATT&CK一样的矩阵。目前，最新版本Shield拥有8个防御战术（防御方需要完成的目标，包括引导、收集、遏制、检测、中断、促进、合法化、测试）、34项防御技术（防御方完成目标所涉及的技术）。从整个Shield矩阵来看，包括了主动防御所需的最基础技术，包括基本网络防御、网络欺骗和对抗行为。不仅帮助防御者更好应对当前的***，还有助于更深入地了解***者，为未来新的***做好防御准备。

图注：MITRE Shield矩阵示意图

MITRE Shield的最新进展

在RSA 2021大会上，MITRE的Stanley Barr博士介绍了Shield v2.0版本的改进思路，包括防御方法论的优化、加强收集数据和检测能力、完善防御的规划制定与分析、提高阻断、引导、干扰等防御技术。另外，对于Shield发布以来安全社区提出的一些建议，Stanley博士也直言会充分考虑并在新版本中进行改进。

山石网科致力于推进MITRE Shield在行业中的落地与应用

由于MITRE ATT&CK被各大厂商广泛用于检验现有安全能力的不足，以补充缺失的安全能力，MITRE将Shield与ATT&CK形成映射关系，对应一下每项***技术和相应的主动防御技术的例子。在***关系的映射表里，我们可以看到针对每项ATT&CK的***技术（如T1589），可以找到Shield的防御技术（DTE0010和DTE0015）。同时还有两列，Opportunity Space和Use Case，一是表述了检测该项***技术的机会点，另一个说明了具体防御使用场景描述。

 

 图注：MITRE***关系映射表

通过对标ATT&CK的TTPs来描述各种防御技术，能够加速安全厂商安全能力的建设过程。值得一提的是，这些防御技术是基于红蓝对抗演习和实际运维经验提炼出来的，有很强的现实意义。

 

山石网科在利用主动防御技术上面有过很好的实践，如在内网威胁检测系统上的蜜罐和低交互的欺骗技术。随着MITRE在Shield知识库的不断补充和完善，我们相信这个知识框架会给予企业网络安全防御方案上系统化、高层次的指导。

标签：CK,10,Shield,TOP,RSAC,技术,ATT,防御,MITRE
来源： https://blog.51cto.com/u_3971792/2821450

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。