國外安全周刊發(fā)文《使用 MITRE D3FEND 提高防御準備的三種方法》，對于喜歡研究MITRE ATT&CK框架及其擴展內(nèi)容的朋友來說，是一個可以參考借鑒的東西。我們整理該網(wǎng)站的一些觀點，供大家參考。

MITRE 創(chuàng)建和維護的MITRE D3FEND是一個框架，提供防御性網(wǎng)絡(luò)安全對策和技術(shù)組件庫，以幫助組織改善其防御性網(wǎng)絡(luò)安全態(tài)勢。

MITRE D3FEND 是對MITRE ATT&CK 框架的補充，后者是網(wǎng)絡(luò)犯罪策略、技術(shù)和程序 (TTP) 的庫。D3FEND 將 ATT&CK 的 TTP 與防御對策之間的關(guān)系映射起來，以制定針對已知攻擊者行為的策略。

使用 D3FEND 加強防御準備

D3FEND為組織提供防御性網(wǎng)絡(luò)安全語言和分類層次結(jié)構(gòu)，使他們能夠創(chuàng)建新的網(wǎng)絡(luò)安全計劃或改進現(xiàn)有計劃。組織可以使用該框架來評估和比較軟件產(chǎn)品和服務(wù)的安全狀況，并進行明智的采購和投資。

D3FEND 的核心是為安全團隊提供實現(xiàn)防御準備所需的技能分類。這種分類提供了對安全團隊可以采取的防御對策的高度正式和有組織的洞察力，以減輕攻擊，同時為監(jiān)控、檢測和響應(yīng)網(wǎng)絡(luò)攻擊的長期戰(zhàn)略奠定基礎(chǔ)。

D3FEND 的消息分析技術(shù)是這種分類法實際應(yīng)用的一個很好的例子。它詳細介紹了人們分析消息以查看其中可能包含何種攻擊所需的工具和防御準備技能。這些工具和技能的范圍從高級的到非常具體的，例如分析標題信息、電子郵件的正文內(nèi)容、鏈接和附件。

要避免的陷阱

不要試圖讓 D3FEND 的海洋沸騰。一些組織采用全有或全無的網(wǎng)絡(luò)安全方法，不幸的是，許多組織為此付出了代價。就 D3FEND 及其龐大的措施和組件框架而言，一般組織不應(yīng)嘗試實施它包含的所有內(nèi)容。事實上，大多數(shù)企業(yè)只需采用 D3FEND 的一小部分即可改善其安全狀況。

未能關(guān)注組織面臨的首要威脅。為了實現(xiàn)網(wǎng)絡(luò)就緒，每個組織都需要確定其面臨的主要威脅，并確定保護所需的基本技能。 

關(guān)鍵是要有戰(zhàn)略性——關(guān)注最相關(guān)的攻擊類型、攻擊者概況以及他們的工具和戰(zhàn)術(shù)。下一步是評估組織的技能和工具來防御這種范圍較窄的攻擊/攻擊者，并在必要時進行改進。

這就是 D3FEND 可以提供幫助的地方，它為組織提供信息以調(diào)整特定技能和工具以消除特定威脅。 

使用 D3FEND 提高防御準備

選擇正確的 D3FEND 功能。鑒于 D3FEND 的復(fù)雜性和深度，明智的做法是從一開始就采取一些小步驟，獲取那些對于保護組織免受日常面臨的主要威脅至關(guān)重要的技能和產(chǎn)品。 

根據(jù)個人和團隊當前的技能組合制定培訓(xùn)路徑。基本的組成部分是個人動手訓(xùn)練，使個人能夠按照自己的節(jié)奏工作，從而建立對學(xué)習(xí)至關(guān)重要的肌肉記憶。這種方法將使他們能夠通過遵循預(yù)先建立或規(guī)定的學(xué)習(xí)路徑來磨練自己的技能。 

理想情況下，技能開發(fā)應(yīng)該足夠靈活，以允許項目負責(zé)人對其進行定制以滿足組織的安全需求以及其他安全人員的團隊需求。

使用團隊威脅練習(xí)驗證是否已獲得技能。技能驗證對于網(wǎng)絡(luò)準備培訓(xùn)的成功絕對至關(guān)重要。該過程應(yīng)包括使用在現(xiàn)實環(huán)境中進行的基于團隊的練習(xí)對個人技能的常規(guī)評估。 

為了真實有效，這個過程必須考慮到人們有不同的才能，有些人在某些情況下比其他人更快，有些人做出更好的決定，有些人是更好的防守者，有些人是更好的攻擊者。

MITRE D3FEND 框架是增強網(wǎng)絡(luò)防御準備的出色工具。但是，它只有在確保它與組織面臨的主要威脅適當保持一致的規(guī)劃中才有效。這包括根據(jù)個人分析師和整個安全團隊的當前技能和期望的成就水平定制內(nèi)容。