国外安全周刊发文《使用 MITRE D3FEND 提高防御准备的三种方法》,对于喜欢研究MITRE ATT&CK框架及其扩展内容的朋友来说,是一个可以参考借鉴的东西。我们整理该网站的一些观点,供大家参考。
MITRE 创建和维护的MITRE D3FEND是一个框架,提供防御性网络安全对策和技术组件库,以帮助组织改善其防御性网络安全态势。
MITRE D3FEND 是对MITRE ATT&CK 框架的补充,后者是网络犯罪策略、技术和程序 (TTP) 的库。D3FEND 将 ATT&CK 的 TTP 与防御对策之间的关系映射起来,以制定针对已知攻击者行为的策略。
使用 D3FEND 加强防御准备
D3FEND为组织提供防御性网络安全语言和分类层次结构,使他们能够创建新的网络安全计划或改进现有计划。组织可以使用该框架来评估和比较软件产品和服务的安全状况,并进行明智的采购和投资。
D3FEND 的核心是为安全团队提供实现防御准备所需的技能分类。这种分类提供了对安全团队可以采取的防御对策的高度正式和有组织的洞察力,以减轻攻击,同时为监控、检测和响应网络攻击的长期战略奠定基础。
D3FEND 的消息分析技术是这种分类法实际应用的一个很好的例子。它详细介绍了人们分析消息以查看其中可能包含何种攻击所需的工具和防御准备技能。这些工具和技能的范围从高级的到非常具体的,例如分析标题信息、电子邮件的正文内容、链接和附件。
要避免的陷阱
不要试图让 D3FEND 的海洋沸腾。一些组织采用全有或全无的网络安全方法,不幸的是,许多组织为此付出了代价。就 D3FEND 及其庞大的措施和组件框架而言,一般组织不应尝试实施它包含的所有内容。事实上,大多数企业只需采用 D3FEND 的一小部分即可改善其安全状况。
未能关注组织面临的首要威胁。为了实现网络就绪,每个组织都需要确定其面临的主要威胁,并确定保护所需的基本技能。
关键是要有战略性——关注最相关的攻击类型、攻击者概况以及他们的工具和战术。下一步是评估组织的技能和工具来防御这种范围较窄的攻击/攻击者,并在必要时进行改进。
这就是 D3FEND 可以提供帮助的地方,它为组织提供信息以调整特定技能和工具以消除特定威胁。
使用 D3FEND 提高防御准备
选择正确的 D3FEND 功能。鉴于 D3FEND 的复杂性和深度,明智的做法是从一开始就采取一些小步骤,获取那些对于保护组织免受日常面临的主要威胁至关重要的技能和产品。
根据个人和团队当前的技能组合制定培训路径。基本的组成部分是个人动手训练,使个人能够按照自己的节奏工作,从而建立对学习至关重要的肌肉记忆。这种方法将使他们能够通过遵循预先建立或规定的学习路径来磨练自己的技能。
理想情况下,技能开发应该足够灵活,以允许项目负责人对其进行定制以满足组织的安全需求以及其他安全人员的团队需求。
使用团队威胁练习验证是否已获得技能。技能验证对于网络准备培训的成功绝对至关重要。该过程应包括使用在现实环境中进行的基于团队的练习对个人技能的常规评估。
为了真实有效,这个过程必须考虑到人们有不同的才能,有些人在某些情况下比其他人更快,有些人做出更好的决定,有些人是更好的防守者,有些人是更好的攻击者。
MITRE D3FEND 框架是增强网络防御准备的出色工具。但是,它只有在确保它与组织面临的主要威胁适当保持一致的规划中才有效。这包括根据个人分析师和整个安全团队的当前技能和期望的成就水平定制内容。