MITRE Engage出现的历史背景
十年前,MITRE在处理一起APT事件时,由于对攻击者的运作了解甚少,因此当时他们做出两个重要的决定。首先,就是学习与观察,到了足够了解时可提高机会将攻击者拒于门外,其次,一旦做到第一步,如果还想继续学习又不希望本身的系统资料有危害,因此,他们建立了对手交战计划(Adversary engagement program),目的是要帮助自己成为更好的防守者。
MITRE的William Hill(MITRE Shield的主要作者)指出,他们现在想要做的,是挑战控制对手并开始影响时间、地点与交战方式,然后尽可能最大化自己的学习,并拒绝对手的学习。显然,要在防御范围内进一步控制对手,主动在内部网路环境与之互动及抗衡,就是MITRE对于积极防御贡献的一大重点。
本文目录
一、Engage背景介绍
1)Engage简介
2)Engage术语
二、Engage矩阵模型
三、Engage与ATT&CK的映射
四、如何使用MITRE Engage?
五、MITRE Engage与MITRE Shield的区别,MITRE Shield与MITRE D3FEND的区别
一、Engage背景介绍
1)Engage简介
MITRE Engage是一个讨论和规划对手交战(adversary engagement)、欺骗(deception)和拒绝活动的框架。Engage以现实世界中观察到的对手行为为依据,旨在推动网络战略成果。Engage的创建是为了帮助私营部门、政府、网络安全产品和服务社区计划和执行对手交战战略和技术的使用。
2)Engage术语
Engage术语的目标是采用足够的结构和严谨性。MITRE Engage术语的定义参考了《国防部军事及相关术语词典》和《美国政府跨机构及相关术语汇编》中的术语定义。
对手交战(Adversary Engagement):交战是拒绝和欺骗的结合,以增加对手的网络行动的成本和降低其价值。对手交战的目标是暴露对手及其弱点,了解他们的能力和意图,并对他们施加代价。
网络拒绝(Cyber Denial):拒绝是指防止或损害对手收集情报的能力和努力。拒绝还支持防止或破坏对手实现效果的企图。
网络欺骗(Cyber Deception):欺骗者开发欺骗性的事实和虚构以误导对手,同时隐瞒关键事实和虚构以防止对手形成正确的估计或采取适当的行动。
目标(Goals):想完成的目标。
方法(Approaches → Tactics):实现目标的方法。Engage使用术语“方法”来指代ATT&CK®中描述的那些战术(Tactics)。我们使用”方法”一词来代替”战术”,以便在我们提到Engage方法和ATT&CK®战术时加以区别。
活动(Activities → Techniques):用来在方法上取得进展的具体活动。Engage使用术语“活动”来指代ATT&CK®中描述的技术(Techniques)。我们使用”活动”一词,而不是”技术”,以便在提及”交战”活动和”ATT&CK®技术”时加以区分。
战略行动(Strategic Actions):为实现运营战略而采取的目标(goals)、方法(approaches)和活动(activities)。
交战行动(Engagement Actions):针对对手所采取的目标(goals)、方法(approaches)和活动(activities)。
二、Engage矩阵模型
交战矩阵显示了各种战略和交战目标、方法和活动之间的关系。目标位于”交战”的最上面一行。每个方法和活动都被分配给一个目标。方法是下一行的内容。所有的活动都被分配给一个方法。最后,活动构成了Engage中的其余条目。战略行动可以在Engage的最右边和最左边的栏目中找到。交战行动可以在中心栏中找到。通过将”交战行动”与”战略规划和分析”放在一起,我们希望MITRE Engage能够帮助组织更好地规划和实施现实世界中的对手交战战略,并推动网络安全生态系统。
Engage矩阵包含以下核心组件:
- 矩阵顶部是交战目标(Engage Goals)。
- 下一行包含交战方法(Engage Approaches)。
- 矩阵的其余部分由交战活动(Engage Activities)组成。
行动(Actions)分为两类:
- 战略目标、方法和活动是矩阵的基础,并确保防御者以战略规划和分析适当地推动运营。
- 交战目标、方法和活动是传统的网络拒绝和欺骗活动,用于推动实现防御者的战略目标的进展。
MITRE Engage编号(ID)格式:
每个目标、方法和活动都有一个唯一的ID,
- Strategic GOals以SGO开头
- Engagement GOals以EGO开头
- Strategic APproaches以SAP开头
- Engagement APproaches以EAP开头
- Strategic ACtivities以SAC开头
- Engagement ACtivities以EAC开头
三、Engage与ATT&CK的映射
通过将各种交战活动映射到ATT&CK®,我们可以确保交战中的每项活动都是由观察到的对手行为驱动。每个映射都细分为以下内容:
- ATT&CK技术ID和名称:我们正在研究的特定对手行为
- 对手漏洞:对手在进行特定行为时暴露的漏洞
- 交战活动:防御者可以采取的行动来利用对手暴露的漏洞
不过在MITRE Engage的当前版本中,MITRE选择不在这些映射中包含任何特定的活动实现或用例。为了提供一些指导,我们为每个活动包含了扩展定义,包括具体示例。我们希望这些定义将提供一些可能的艺术的例子。
四、如何使用MITRE Engage?
关于如何使用MITRE Engage,MITRE给厂商、安全负责人和安全分析师提供了指导建议。
厂商:了解我的网络欺骗工具如何与MITRE Engage活动保持一致。
安全负责人:了解拒绝、欺骗和对手交战如何融入我的网络战略。
概括
使用矩阵视图,安全负责人可以探索各种目标、方法和活动如何帮助您识别和推动实现网络战略成果的进展。MITRE Engage旨在帮助CISO和其他安全决策者了解拒绝、欺骗和对手交战如何适应组织当前的网络战略。
我们MITRE坚信网络欺骗技术与许多其他防御技术不同,不是“一劳永逸”。相反,应将欺骗技术作为旨在实现众所周知的目标的有意策略的一部分进行部署。因此,Engage旨在帮助决策者:
- 为安全网络操作和事件响应制定政策和程序。Engage引入了规划和适应作为框架的基本组成部分。虽然计划和调整是CISO的职能,但从业者需要知道收集、保证和激励等活动如何导致事件的检测。
- 降低信息和相关技术的风险。Engage制定了支持检测、预防、指导和破坏对手的活动。我们相信,采用这些活动可以支持降低风险的使命。
- 保护信息和资产。虽然拒绝活动限制了对手对合法信息的访问,但欺骗执行了一种额外的保护机制。提供有关系统或数据的错误信息会降低对手对这些资产的信任或价值。降低价值和信任通常会导致对手避开这些对象。
Engage如何帮助实现您的安全目标
我们建议有兴趣进一步探索Engage可以做些什么来增强网络安全策略的决策者采取以下步骤:
第1步:探索Engage如何使用目标、方法和活动来推动实现网络战略成果的进展。
看看矩阵(https://engage.mitre.org/matrix)视图。这提供了所有战略和交战目标、方法和活动之间的关系图。
第2步:了解准备目标(Prepare Goal)。
阅读准备(https://engage.mitre.org/goals/SGO0002/)下每个战略方法和活动的定义。这些活动侧重于识别在操作开始之前需要收集的所有信息。成功完成这些活动将确保所有关键利益相关者都参与进来,并且所有未来活动都由尽可能完整的威胁模型提供信息。
第3步:定义您想要的结果。
查看交战目标。您想在网络上暴露对手以揭示以前未知的威胁吗?您想通过施加负资源成本来影响对手吗?或者你想引出对手的TTP来生成CTI Feed或通知其他防御?通过在您的运营计划早期选择一个交战目标,Engage可以帮助防御者确保运营保持专注并推动进展。
第4步:理解Understand Goal。
在Understand(https://engage.mitre.org/goals/SGO0001/)下查看方法和活动。这些操作可确保将操作中的各种原始数据输出提炼为可操作的情报。然后,这种情报可以反馈到未来的行动中,并用于通知其他防御。
通过在战略规划和分析背景下的订制活动,Engage旨在为网络安全决策者提供他们需要的框架,以了解欺骗的目标以及如何推动实现这些目标的进展。
安全分析师:进行对手的交战操作。
五、MITRE Engage与MITRE Shield的区别,MITRE Shield与MITRE D3FEND的区别
MITRE Engage与MITRE Shield的区别
MITRE Engage取代了MITRE Shield的知识库。根据网络社区的技术反馈,我们精简了Shield,将重点放在拒绝、欺骗和对手交战等领域。通过将这些交战活动与战略规划和分析相结合,我们希望MITRE Engage能够帮助组织更好地规划和实施现实世界中的对手交战战略,并推动网络安全生态系统的发展。
我们知道,从Shield到Engage的更改将需要对流程和工具进行重大重新设计。我们认为这些变化对于帮助网络从业者、领导者和厂商了解他们可以使用的工具和策略来构建对手交战操作是必要的。
为确保MITRE Engage始终专注于战略规划,我们实施了以下更改:
1.减少了活动的数量,并在一些地方扩大了个人活动的范围。
例如,我们将诱饵账户、诱饵内容、诱饵凭证、诱饵进程和诱饵系统的Shield技术折叠成一个活动:诱饵工件和系统。这些Shield技术中的每一个在实现上可能看起来非常不同。但是,我们认为防御者可能使用其中之一的原因以及该活动可能对对手产生的影响在各种实现中是共享的。例如,防御者可以使用诱饵帐户或诱饵内容作为绊线。在任何一种情况下,防御者都希望暴露对手的运动。本次发布的Engage旨在在一定程度上抽象出活动实施,以使防御者能够专注于活动如何影响对手并推动实现预期结果的进展。
2.删除了过程、用例和机会空间的概念。
这些变化是有意进行的调整,目的是将重点从单个活动上移开,而是将重点放在这些活动如何适应更大的战略目标的背景上。一旦我们完全充实了对战略规划和分析的重视,我们将重新审视交战活动的想法,以扩展知识库,并深入了解每个活动提供的各种实施和机会。在不久的将来,我们将介绍References的概念。参考资料旨在提供Activity实现的经过验证的真实示例。我们期待社区帮助管理这些参考资料。
3.将术语战术(Tactics)和技术(Techniques)更改为方法(Approaches)和活动(Activities)。
我们希望消除我们所谓的交战方法和活动与ATT&CK战术或技术之间的任何混淆。此外,我们添加了目标的概念作为方法之上的一层。我们还将交战目标、方法和活动分为两类:战略行动和交战行动。所有这些变化都是为了将战略规划纳入Engage的基础。
4.添加了对手漏洞(Adversary Vulnerabilities)的概念。
对手漏洞是对手在从事特定行为时无意暴露的弱点。防御者有机会利用这种弱点来影响对手。我们选择包含敌手漏洞来代替机会空间,使对手行为成为Engage的焦点。我们认为这种框架有助于防御者将对手和对手的行为置于每个操作的中心。
我们为什么要做这些改变?
我们强烈地感觉到,战略规划和分析必须是每一个对手交战行动的基本组成部分。MITRE Engage允许防御者通过这个规划和分析的视角来查看Shield知识库中的相同专业知识。
为什么要改名?
Shield是一个积极的防御知识库,而MITRE Engage则将重点完全放在了拒绝、欺骗和对手交战上。我们认为,Engage这个名字更准确地代表了这个新的、更精简的重点。
我如何从Shield转到Engage?
当我们从MITRE Shield过渡到MITRE Engage时,你可能会问自己,”我应该从哪里开始?”下面是一个从Shield过渡到Engage的分步指南。
对Engage结构实施关键更改:
战术”已被重新命名为”方法
技术”已被重新命名为”活动
目标已被添加为方法之上的一个类别
这些类别中的每一个都被分成了两组,都有独特的ID,即战略目标/方法/活动和交战目标/方法/活动。整体结构是活动是方法的一个子集,方法是目标的一个子集。
要全面了解MITRE Shield和MITRE Engage之间的变化,请单击此处(https://engage.mitre.org/resources/shield)。
MITRE Shield与MITRE D3FEND的区别
D3FEND是网络安全对抗技术的知识库,更具体地说是知识图谱。从最简单的意义上讲,它是防御性网络安全技术及其与进攻/对手技术的关系的目录。D3FEND最初版本的主要目标是帮助标准化用于描述防御性网络安全技术功能的词汇。
根据MITRE官方的说法,“D3FEND was created and released by an independent NSA-funded team at MITREcorp and didn’t come from us.”
参考资料:
https://engage.mitre.org/
后续我们将推出《MITRE Engage落地指南》。
欢迎有MITRE ATT&CK、MITRE Shield和MITRE Engage实际经验的朋友加入“ATT&CK中国区”交流群,一起交流学习。