MITRE Shield知识库
介绍
起源于在网络安全对抗中可能有用的技术,MITRE希望Shield知识库可以根据防守者的具体需要,以多种方式使用,可以是操作手册(操定操作流程),也可以是一个防守标准(定标准参考)
作用
开展积极防御的技术的数据库,还描述了防御计划中常见的一些战术,然后将战术映射到可能有助于实现这些目标的活动 该知识库包括一个MITRE ATT&CK和Shield 技术之间的映射,以说明对手战术、技术和过程(TTP)引入的防御可能性。
[1]
- 具有开展积极防御的技术的数据库
- 描述了防御计划中常见的一些战术,用于将战术映射到可能有助于实现这些目标的活动
- MITRE ATT&CK和Shield 技术之间的映射,用以说明对手战术、技术和过程(TTP)引入的防御可能性
目的
- 使用足够的结构和严格性,而又不必过于僵化或复杂
- 能以多种方式使用,可以是操作手册(操定操作流程),也可以是一个防守标准(定标准参考)
术语
涉及的
- 战术:是抽象的防御者的目的。MITRE发现,有一个能够描述知识库中其他各种元素的效用或用途的分类系统,是很有用的。例如,“引导”战术可以与特定的技术、计划的技术集的一部分,甚至是整个长期交战战略的一部分相关联。
- 技术:是防御者可以执行的一般行动(actions )。一个技术可能有几种不同的战术效果,这取决于它们是如何实现的。
- 过程:是一个技术的实现。在这个版本中,只包含一些简单的过程来激发更多的思考。其目的不是提倡特定的产品、解决方案或结果,而是促使组织广泛考虑现存的选择。Shield中包含的数据集,必然是不完整的,因为存在太多可能的变化,无法可靠地记录。
- 机会空间(Opportunity Spaces):描述当攻击者运用他们的技术时引入的高级别积极防御可能性。
- 用例(Use Cases):是对防御者如何利用攻击者的行为所呈现的机会(opportunity )的高级别描述。用例有助于进行特定的实现讨论。注意:在知识库的下一个版本中,可以看到用例的自然演化正在发挥作用。
积极防御
美国国防部将积极防御定义为“利用受限的进攻性行动和反击,以拒止敌手进入有争议的地区或阵地。”积极防御的范围从基本的网络防御能力到网络欺骗和对手交战行动。[1]
- 通用网络防御(General Cyber Defense)
- Shield包括了MITRE认为适用于所有防御计划的基本防御技术。要想在欺骗和对手交战中取得成功,必须使用基本的网络防御技术,例如:收集系统和网络日志、PCAP、执行数据备份
- 适用于通过对组织所面临的威胁进行评估并确定其优先级时的场景,可以应用于检测和阻止对手
- 所以,虽然Shield似乎面向欺骗和对手交战,但也包括了基本的防御技术
- 网络欺骗(Cyber Deception)
- 有越来越多的想法、工具和产品使用“绊脚线”(tripwire)方法来进行网络防御,也就是所谓的“欺骗”。
- 与通用网络防御中的强化和检测活动相比,欺骗更加主动,防御者会故意引入目标和“面包屑”(目标位置的线索)。精心构建的欺骗系统,通常难以与真实生产系统区分开来,可以用作高保真的检测系统。
- Shield的技术可以包括检测、威慑或其他预期效果的欺骗
- 对手交战(Adversary Engagement)
- Shield中的许多技术都是为防御者设计的,他们想观察、收集和理解对手针对防御系统的活动。可部署在生产环境或综合环境中,Shield对手交战技术可促进有效、高效的交战。
- Shield知识库可用于分析已知的对手信息(在ATT&CK的帮助下)、计划防御措施、获取对未来有用的知识
模型分析
Shield矩阵
以下是MITRE给出的Shield介绍报告中给出的Shield举证,包含两个维度:
- 战术:表示防御者试图完成的任务(列)
- 技术:描述防御如何实现战术(单个单元格)
图:Shield矩阵
图:Shield中的所有技术[1]
TODO 待整理
| 引导 | 收集 | 遏制 | 检测 | 扰乱 | 促进 | 合法化 | 试验 |
|---|---|---|---|---|---|---|---|
| 管理员访问 | |||||||
| API监控 | |||||||
| 应用程序多样性 | |||||||
| 基线 | |||||||
参考
- https://www.aqniu.com/learn/61125.html
References
[1] 美国网络安全 | MITRE Shield 积极防御知识库, 安全客, https://www.anquanke.com/post/id/215312