美国国家安全局(NSA)已经宣布它将资助为恶意威胁行为者使用的最常用技术开发防御对策知识库。

该项目将通过MITRE提供,并将被称为D3FEND,因为它补充了MITRE现有的ATT&CK框架。

主教法冠ATT&CK

MITRE公司是一个非营利组织,以“为一个更安全的世界解决问题”为使命。它希望将关注安全的社区聚集在一起,发展更有效的网络安全。大多数人可能听说过MITRE,因为它运行CVE已知漏洞数据库,另一个广受尊重的资源是斜接式ATT&CK框架.

MITRE ATT&CK框架是基于真实世界观察的进攻战术和技术的知识库。它包含关于恶意组织和技术的信息,并且对任何个人或组织都是开放的,可以免费使用。在私营部门、政府以及网络安全产品和服务社区,它被用作开发特定威胁模型和方法的基础。

一个ATT&CK示例

MITRE ATT&CK框架分为若干组,反映了持续攻击的不同阶段。

斜接Att&ck知识图

举个例子,让我们看看“侦察”阶段的词条“信息钓鱼”。

网络钓鱼

用户将找到攻击向量的描述和一些真实世界的例子,以及有关这些攻击向量的文章或博客的链接。如果你在“鱼叉钓鱼”>“Higaisa”下查找,你会发现我们自己的链接关于Higaisa的博客帖子为例。在攻击向量描述的下方,您可以找到针对攻击向量的“缓解”和“检测”技术。

缓解和检测

主教法冠D3FEND

所以,现在MITRE已经开始在国家安全局的资助下,建立一个类似的网络防御框架。目标是帮助安全架构师快速理解各种防御技术的特定功能。这个框架将被公开共享,这样每个人都可以使用它,并以使用ATT&CK框架的相同方式受益。

有关知识库的主要条目,请访问d3fend.mitre.org.

斜接图

从布局图上可以看出,防御技术已经组合成类似的线性排列,以强化、检测、隔离、欺骗和驱逐。

让我们看一个新知识库中的例子,我将抓住一个我们碰巧知道很多的例子:文件内容规则,在“检测”>“文件分析”下。

文件内容规则

“文件内容规则”的条目解释了这种简单的模式匹配方法是如何工作的,以及一些用例是。但下面是更有趣的部分。通过强调与此D3FEND条目相关的ATT&CK技术,将ATT&CK和D3FEND知识库联系在一起。

突出显示的条目

结论

我必须说,国家安全局声明中试图解释D3FEND任务的一句话让我走错了路。

“D3FEND使网络安全专业人员能够针对特定网络威胁定制防御措施,从而减少系统的潜在攻击面。”

“针对特定网络威胁的定制防御”立刻给了我一个打鼹鼠游戏的想象。但是,看看目前为止已经建立了什么,我认为下面这句话更好地描述了这个项目。

“我们的目标是让架构师更容易理解对抗措施的工作原理,以便他们能够更有效地设计、部署并最终更好地防御网络系统。”

正如MITRE首席网络安全工程师Peter Kaloroumakis所解释的,他负责D3FEND的工作。

这是关于能够做出一个评估,你是否已经涵盖了你认为在你的案例中值得涵盖的所有基础。许多组织都有一个特殊的威胁模型,需要在一个领域加强防御,而在其他领域则不需要。这给了他们一个工具来检查他们是否遗漏了一些东西,或者在哪些地方可以改进。

实施

MITRE和美国国家安全局今天敦促各机构尽快将d320s框架纳入其安全计划。MITRE公司也发布了一项技术白皮书(PDF)介绍了该新框架的基本原理和设计。