近日,MITRE推出了用于主动防御的实战型指导框架——MITRE Shield。该框架是基于对真实攻防对抗环境所涉及主动防御战术、技术提炼而成的知识库。从抽象角色来看,ATT&CK是站在攻击视角提炼而成,Shield则是站在防守视角。顾名思义,Shield动词表示保护免受威胁和风险,作为名词使用也有防御意思。
众所周知,主动防御是改变攻防双方天平不对等最佳实践办法之一。目前,Shield拥有8个战术(防守方需要完成目标,包括Channel、Collect、Contain、Detect、Disrupt、Facilitate、Legitimize、Test),34项技术(防守方完成目标所涉及的技术)。目前从整个Shield矩阵来看,囊括了主动防御所需的最基础防守方战术和技术,包括基本网络防御、网络欺骗和对抗行为。这不仅可以帮助防守者更好应对当前的攻击,而且能够更多地了解攻击者,为未来新的攻击做好准备。
(MITRE Shield链接:https://shield.mitre.org/matrix/)
图1:Shield矩阵框架图
点击打开每一项防守技术详情页面,都包含了防守方通过该技术进行主动防御所涉及的详细内容,包括ATT&CK的TTP与Shield之间的映射关系。如下图所示,Shield框架的“Channel”战术下“Decoy Account(DTE0010)”技术,可以用来主动防御ATT&CK框架中T1078(Valid Accounts)、T1087(Account Discovery)、T1098(Account Manipulation)三个攻击技术。
图2:Shield与ATT&CK之间映射关系
如果点开上图右侧ATT&CK具体Tactics,则会显示该战术所应对每项攻击技术对应主动防御技术,如下图所示即为ATT&CK TA0005(Defense Evasion)战术所对应攻击技术与Shield防御技术的映射情况。此外,Opportunity Space这一列重点表述了检测该项攻击技术的机会点,Use Case这列则重点说明了具体防御使用场景的描述,如下图T1070 - Indicator Removal on Host。
图3:Shield矩阵中“OpportunitySpace”与“Use Case”关系
总得来说,ATT&CK和Shield联合使用,可以帮助防守者更加深入了解攻击者行为、攻击活动、助力其构建更加积极主动防御策略。