近日，MITRE推出了用于主动防御的实战型指导框架——MITRE Shield。该框架是基于对真实攻防对抗环境所涉及主动防御战术、技术提炼而成的知识库。从抽象角色来看，ATT&CK是站在攻击视角提炼而成，Shield则是站在防守视角。顾名思义，Shield动词表示保护免受威胁和风险，作为名词使用也有防御意思。

众所周知，主动防御是改变攻防双方天平不对等最佳实践办法之一。目前，Shield拥有8个战术（防守方需要完成目标，包括Channel、Collect、Contain、Detect、Disrupt、Facilitate、Legitimize、Test），34项技术（防守方完成目标所涉及的技术）。目前从整个Shield矩阵来看，囊括了主动防御所需的最基础防守方战术和技术，包括基本网络防御、网络欺骗和对抗行为。这不仅可以帮助防守者更好应对当前的攻击，而且能够更多地了解攻击者，为未来新的攻击做好准备。

（MITRE Shield链接：https://shield.mitre.org/matrix/）

图1：Shield矩阵框架图

点击打开每一项防守技术详情页面，都包含了防守方通过该技术进行主动防御所涉及的详细内容，包括ATT&CK的TTP与Shield之间的映射关系。如下图所示，Shield框架的“Channel”战术下“Decoy Account（DTE0010）”技术，可以用来主动防御ATT&CK框架中T1078（Valid Accounts）、T1087（Account Discovery）、T1098（Account Manipulation）三个攻击技术。

图2：Shield与ATT&CK之间映射关系

如果点开上图右侧ATT&CK具体Tactics，则会显示该战术所应对每项攻击技术对应主动防御技术，如下图所示即为ATT&CK TA0005（Defense Evasion）战术所对应攻击技术与Shield防御技术的映射情况。此外，Opportunity Space这一列重点表述了检测该项攻击技术的机会点，Use Case这列则重点说明了具体防御使用场景的描述，如下图T1070 - Indicator Removal on Host。

图3：Shield矩阵中“OpportunitySpace”与“Use Case”关系

总得来说，ATT&CK和Shield联合使用，可以帮助防守者更加深入了解攻击者行为、攻击活动、助力其构建更加积极主动防御策略。感兴趣的可以持续保持关注MITRE后续的更新的内容，青藤也会在第一时间进行解读，大家可以持续关注青藤公众号。

本文作者：青藤云安全

本文为安全脉搏专栏作者发布，转载请注明：https://www.secpulse.com/archives/159294.html