美國(guó)西部時(shí)間2021年5月17日，即RSA 2021大會(huì)開(kāi)幕的第一天，來(lái)自MITRE的首席信息安全官William Hill和Stanley Barr博士做了題為“A Primer: Getting Started with MITRE Shield”的演講。

作為大名鼎鼎的MITRE ATT&CK知識(shí)庫(kù)的后起之秀，連MITRE官方都親切稱之為ATT&CK的“年輕小表弟”，MITRE Shield的再次亮相受到了業(yè)界的廣泛關(guān)注。作為行業(yè)內(nèi)較早深度研究并積極探索應(yīng)用ATT&CK的安全廠商，山石網(wǎng)科早在2019年就開(kāi)始關(guān)注到MITRE里一支稱為Engagement team的團(tuán)隊(duì)，正是這個(gè)團(tuán)隊(duì)建立了MITRE Shield。2020年8月，MITRE官方正式發(fā)布了對(duì)Shield的介紹。

MITRE Shield與ATT&CK的視角差異

MITRE ATT&CK是2013年發(fā)布并持續(xù)更新的關(guān)于攻擊戰(zhàn)術(shù)、攻擊技術(shù)的知識(shí)庫(kù)，從攻擊者視角展示了發(fā)起攻擊所涉及到的戰(zhàn)術(shù)、技術(shù)、子技術(shù)、過(guò)程等元素。經(jīng)過(guò)幾次較大的改進(jìn)更新，最新的ATT&CK知識(shí)庫(kù)包含了Enterprise企業(yè)版、Mobile移動(dòng)版、ICS工控版。其中，企業(yè)版涵蓋了14種攻擊戰(zhàn)術(shù)、185種攻擊技術(shù)、367種子技術(shù)、42種緩解措施，并且隆重推出了全新的針對(duì)容器技術(shù)的攻擊矩陣（注：數(shù)據(jù)來(lái)源于MITRE官網(wǎng)，2021年4月27日更新）。

與ATT&CK視角不同的是，MITRE Shield知識(shí)庫(kù)是防御者視角，從防御戰(zhàn)術(shù)、防御技術(shù)入手，構(gòu)建了類(lèi)似于ATT&CK一樣的矩陣。目前，最新版本Shield擁有8個(gè)防御戰(zhàn)術(shù)（防御方需要完成的目標(biāo)，包括引導(dǎo)、收集、遏制、檢測(cè)、中斷、促進(jìn)、合法化、測(cè)試）、34項(xiàng)防御技術(shù)（防御方完成目標(biāo)所涉及的技術(shù)）。從整個(gè)Shield矩陣來(lái)看，包括了主動(dòng)防御所需的最基礎(chǔ)技術(shù)，包括基本網(wǎng)絡(luò)防御、網(wǎng)絡(luò)欺騙和對(duì)抗行為。不僅幫助防御者更好應(yīng)對(duì)當(dāng)前的攻擊，還有助于更深入地了解攻擊者，為未來(lái)新的攻擊做好防御準(zhǔn)備。

圖注：MITRE Shield矩陣示意圖

MITRE Shield的最新進(jìn)展

在RSA 2021大會(huì)上，MITRE的Stanley Barr博士介紹了Shield v2.0版本的改進(jìn)思路，包括防御方法論的優(yōu)化、加強(qiáng)收集數(shù)據(jù)和檢測(cè)能力、完善防御的規(guī)劃制定與分析、提高阻斷、引導(dǎo)、干擾等防御技術(shù)。另外，對(duì)于Shield發(fā)布以來(lái)安全社區(qū)提出的一些建議，Stanley博士也直言會(huì)充分考慮并在新版本中進(jìn)行改進(jìn)。

山石網(wǎng)科致力于推進(jìn)MITRE Shield在行業(yè)中的落地與應(yīng)用

由于MITRE ATT&CK被各大廠商廣泛用于檢驗(yàn)現(xiàn)有安全能力的不足，以補(bǔ)充缺失的安全能力，MITRE將Shield與ATT&CK形成映射關(guān)系，對(duì)應(yīng)一下每項(xiàng)攻擊技術(shù)和相應(yīng)的主動(dòng)防御技術(shù)的例子。在攻防關(guān)系的映射表里，我們可以看到針對(duì)每項(xiàng)ATT&CK的攻擊技術(shù)（如T1589），可以找到Shield的防御技術(shù)（DTE0010和DTE0015）。同時(shí)還有兩列，Opportunity Space和Use Case，一是表述了檢測(cè)該項(xiàng)攻擊技術(shù)的機(jī)會(huì)點(diǎn)，另一個(gè)說(shuō)明了具體防御使用場(chǎng)景描述。

圖注：MITRE攻防關(guān)系映射表

通過(guò)對(duì)標(biāo)ATT&CK的TTPs來(lái)描述各種防御技術(shù)，能夠加速安全廠商安全能力的建設(shè)過(guò)程。值得一提的是，這些防御技術(shù)是基于紅藍(lán)對(duì)抗演習(xí)和實(shí)際運(yùn)維經(jīng)驗(yàn)提煉出來(lái)的，有很強(qiáng)的現(xiàn)實(shí)意義。

山石網(wǎng)科在利用主動(dòng)防御技術(shù)上面有過(guò)很好的實(shí)踐，如在內(nèi)網(wǎng)威脅檢測(cè)系統(tǒng)上的蜜罐和低交互的欺騙技術(shù)。隨著MITRE在Shield知識(shí)庫(kù)的不斷補(bǔ)充和完善，我們相信這個(gè)知識(shí)框架會(huì)給予企業(yè)網(wǎng)絡(luò)安全防御方案上系統(tǒng)化、高層次的指導(dǎo)。