美國西部時間2021年5月17日，即RSA 2021大會開幕的第一天，來自MITRE的首席信息安全官William Hill和Stanley Barr博士做了題為“A Primer: Getting Started with MITRE Shield”的演講。

作為大名鼎鼎的MITRE ATT&CK知識庫的后起之秀，連MITRE官方都親切稱之為ATT&CK的“年輕小表弟”，MITRE Shield的再次亮相受到了業界的廣泛關注。作為行業內較早深度研究并積極探索應用ATT&CK的安全廠商，山石網科早在2019年就開始關注到MITRE里一支稱為Engagement team的團隊，正是這個團隊建立了MITRE Shield。2020年8月，MITRE官方正式發布了對Shield的介紹。

MITRE Shield與ATT&CK的視角差異

MITRE ATT&CK是2013年發布并持續更新的關于攻擊戰術、攻擊技術的知識庫，從攻擊者視角展示了發起攻擊所涉及到的戰術、技術、子技術、過程等元素。經過幾次較大的改進更新，最新的ATT&CK知識庫包含了Enterprise企業版、Mobile移動版、ICS工控版。其中，企業版涵蓋了14種攻擊戰術、185種攻擊技術、367種子技術、42種緩解措施，并且隆重推出了全新的針對容器技術的攻擊矩陣（注：數據來源于MITRE官網，2021年4月27日更新）。

與ATT&CK視角不同的是，MITRE Shield知識庫是防御者視角，從防御戰術、防御技術入手，構建了類似于ATT&CK一樣的矩陣。目前，最新版本Shield擁有8個防御戰術（防御方需要完成的目標，包括引導、收集、遏制、檢測、中斷、促進、合法化、測試）、34項防御技術（防御方完成目標所涉及的技術）。從整個Shield矩陣來看，包括了主動防御所需的最基礎技術，包括基本網絡防御、網絡欺騙和對抗行為。不僅幫助防御者更好應對當前的攻擊，還有助于更深入地了解攻擊者，為未來新的攻擊做好防御準備。

圖注：MITRE Shield矩陣示意圖

MITRE Shield的最新進展

在RSA 2021大會上，MITRE的Stanley Barr博士介紹了Shield v2.0版本的改進思路，包括防御方法論的優化、加強收集數據和檢測能力、完善防御的規劃制定與分析、提高阻斷、引導、干擾等防御技術。另外，對于Shield發布以來安全社區提出的一些建議，Stanley博士也直言會充分考慮并在新版本中進行改進。

山石網科致力于推進MITRE Shield在行業中的落地與應用

由于MITRE ATT&CK被各大廠商廣泛用于檢驗現有安全能力的不足，以補充缺失的安全能力，MITRE將Shield與ATT&CK形成映射關系，對應一下每項攻擊技術和相應的主動防御技術的例子。在攻防關系的映射表里，我們可以看到針對每項ATT&CK的攻擊技術（如T1589），可以找到Shield的防御技術（DTE0010和DTE0015）。同時還有兩列，Opportunity Space和Use Case，一是表述了檢測該項攻擊技術的機會點，另一個說明了具體防御使用場景描述。

圖注：MITRE攻防關系映射表

通過對標ATT&CK的TTPs來描述各種防御技術，能夠加速安全廠商安全能力的建設過程。值得一提的是，這些防御技術是基于紅藍對抗演習和實際運維經驗提煉出來的，有很強的現實意義。

山石網科在利用主動防御技術上面有過很好的實踐，如在內網威脅檢測系統上的蜜罐和低交互的欺騙技術。隨著MITRE在Shield知識庫的不斷補充和完善，我們相信這個知識框架會給予企業網絡安全防御方案上系統化、高層次的指導。