國外安全周刊發(fā)文《使用 MITRE D3FEND 提高防御準(zhǔn)備的三種方法》，對于喜歡研究MITRE ATT&CK框架及其擴(kuò)展內(nèi)容的朋友來說，是一個(gè)可以參考借鑒的東西。我們整理該網(wǎng)站的一些觀點(diǎn)，供大家參考。

MITRE 創(chuàng)建和維護(hù)的MITRE D3FEND是一個(gè)框架，提供防御性網(wǎng)絡(luò)安全對策和技術(shù)組件庫，以幫助組織改善其防御性網(wǎng)絡(luò)安全態(tài)勢。

MITRE D3FEND 是對MITRE ATT&CK 框架的補(bǔ)充，后者是網(wǎng)絡(luò)犯罪策略、技術(shù)和程序 (TTP) 的庫。D3FEND 將 ATT&CK 的 TTP 與防御對策之間的關(guān)系映射起來，以制定針對已知攻擊者行為的策略。

使用 D3FEND 加強(qiáng)防御準(zhǔn)備

D3FEND為組織提供防御性網(wǎng)絡(luò)安全語言和分類層次結(jié)構(gòu)，使他們能夠創(chuàng)建新的網(wǎng)絡(luò)安全計(jì)劃或改進(jìn)現(xiàn)有計(jì)劃。組織可以使用該框架來評估和比較軟件產(chǎn)品和服務(wù)的安全狀況，并進(jìn)行明智的采購和投資。

D3FEND 的核心是為安全團(tuán)隊(duì)提供實(shí)現(xiàn)防御準(zhǔn)備所需的技能分類。這種分類提供了對安全團(tuán)隊(duì)可以采取的防御對策的高度正式和有組織的洞察力，以減輕攻擊，同時(shí)為監(jiān)控、檢測和響應(yīng)網(wǎng)絡(luò)攻擊的長期戰(zhàn)略奠定基礎(chǔ)。

D3FEND 的消息分析技術(shù)是這種分類法實(shí)際應(yīng)用的一個(gè)很好的例子。它詳細(xì)介紹了人們分析消息以查看其中可能包含何種攻擊所需的工具和防御準(zhǔn)備技能。這些工具和技能的范圍從高級的到非常具體的，例如分析標(biāo)題信息、電子郵件的正文內(nèi)容、鏈接和附件。

要避免的陷阱

不要試圖讓 D3FEND 的海洋沸騰。一些組織采用全有或全無的網(wǎng)絡(luò)安全方法，不幸的是，許多組織為此付出了代價(jià)。就 D3FEND 及其龐大的措施和組件框架而言，一般組織不應(yīng)嘗試實(shí)施它包含的所有內(nèi)容。事實(shí)上，大多數(shù)企業(yè)只需采用 D3FEND 的一小部分即可改善其安全狀況。

未能關(guān)注組織面臨的首要威脅。為了實(shí)現(xiàn)網(wǎng)絡(luò)就緒，每個(gè)組織都需要確定其面臨的主要威脅，并確定保護(hù)所需的基本技能。 

關(guān)鍵是要有戰(zhàn)略性——關(guān)注最相關(guān)的攻擊類型、攻擊者概況以及他們的工具和戰(zhàn)術(shù)。下一步是評估組織的技能和工具來防御這種范圍較窄的攻擊/攻擊者，并在必要時(shí)進(jìn)行改進(jìn)。

這就是 D3FEND 可以提供幫助的地方，它為組織提供信息以調(diào)整特定技能和工具以消除特定威脅。 

使用 D3FEND 提高防御準(zhǔn)備

選擇正確的 D3FEND 功能。鑒于 D3FEND 的復(fù)雜性和深度，明智的做法是從一開始就采取一些小步驟，獲取那些對于保護(hù)組織免受日常面臨的主要威脅至關(guān)重要的技能和產(chǎn)品。 

根據(jù)個(gè)人和團(tuán)隊(duì)當(dāng)前的技能組合制定培訓(xùn)路徑?；镜慕M成部分是個(gè)人動(dòng)手訓(xùn)練，使個(gè)人能夠按照自己的節(jié)奏工作，從而建立對學(xué)習(xí)至關(guān)重要的肌肉記憶。這種方法將使他們能夠通過遵循預(yù)先建立或規(guī)定的學(xué)習(xí)路徑來磨練自己的技能。 

理想情況下，技能開發(fā)應(yīng)該足夠靈活，以允許項(xiàng)目負(fù)責(zé)人對其進(jìn)行定制以滿足組織的安全需求以及其他安全人員的團(tuán)隊(duì)需求。

使用團(tuán)隊(duì)威脅練習(xí)驗(yàn)證是否已獲得技能。技能驗(yàn)證對于網(wǎng)絡(luò)準(zhǔn)備培訓(xùn)的成功絕對至關(guān)重要。該過程應(yīng)包括使用在現(xiàn)實(shí)環(huán)境中進(jìn)行的基于團(tuán)隊(duì)的練習(xí)對個(gè)人技能的常規(guī)評估。 

為了真實(shí)有效，這個(gè)過程必須考慮到人們有不同的才能，有些人在某些情況下比其他人更快，有些人做出更好的決定，有些人是更好的防守者，有些人是更好的攻擊者。

MITRE D3FEND 框架是增強(qiáng)網(wǎng)絡(luò)防御準(zhǔn)備的出色工具。但是，它只有在確保它與組織面臨的主要威脅適當(dāng)保持一致的規(guī)劃中才有效。這包括根據(jù)個(gè)人分析師和整個(gè)安全團(tuán)隊(duì)的當(dāng)前技能和期望的成就水平定制內(nèi)容。