國外安全周刊發文《使用 MITRE D3FEND 提高防御準備的三種方法》，對于喜歡研究MITRE ATT&CK框架及其擴展內容的朋友來說，是一個可以參考借鑒的東西。我們整理該網站的一些觀點，供大家參考。

MITRE 創建和維護的MITRE D3FEND是一個框架，提供防御性網絡安全對策和技術組件庫，以幫助組織改善其防御性網絡安全態勢。

MITRE D3FEND 是對MITRE ATT&CK 框架的補充，后者是網絡犯罪策略、技術和程序 (TTP) 的庫。D3FEND 將 ATT&CK 的 TTP 與防御對策之間的關系映射起來，以制定針對已知攻擊者行為的策略。

使用 D3FEND 加強防御準備

D3FEND為組織提供防御性網絡安全語言和分類層次結構，使他們能夠創建新的網絡安全計劃或改進現有計劃。組織可以使用該框架來評估和比較軟件產品和服務的安全狀況，并進行明智的采購和投資。

D3FEND 的核心是為安全團隊提供實現防御準備所需的技能分類。這種分類提供了對安全團隊可以采取的防御對策的高度正式和有組織的洞察力，以減輕攻擊，同時為監控、檢測和響應網絡攻擊的長期戰略奠定基礎。

D3FEND 的消息分析技術是這種分類法實際應用的一個很好的例子。它詳細介紹了人們分析消息以查看其中可能包含何種攻擊所需的工具和防御準備技能。這些工具和技能的范圍從高級的到非常具體的，例如分析標題信息、電子郵件的正文內容、鏈接和附件。

要避免的陷阱

不要試圖讓 D3FEND 的海洋沸騰。一些組織采用全有或全無的網絡安全方法，不幸的是，許多組織為此付出了代價。就 D3FEND 及其龐大的措施和組件框架而言，一般組織不應嘗試實施它包含的所有內容。事實上，大多數企業只需采用 D3FEND 的一小部分即可改善其安全狀況。

未能關注組織面臨的首要威脅。為了實現網絡就緒，每個組織都需要確定其面臨的主要威脅，并確定保護所需的基本技能。 

關鍵是要有戰略性——關注最相關的攻擊類型、攻擊者概況以及他們的工具和戰術。下一步是評估組織的技能和工具來防御這種范圍較窄的攻擊/攻擊者，并在必要時進行改進。

這就是 D3FEND 可以提供幫助的地方，它為組織提供信息以調整特定技能和工具以消除特定威脅。 

使用 D3FEND 提高防御準備

選擇正確的 D3FEND 功能。鑒于 D3FEND 的復雜性和深度，明智的做法是從一開始就采取一些小步驟，獲取那些對于保護組織免受日常面臨的主要威脅至關重要的技能和產品。 

根據個人和團隊當前的技能組合制定培訓路徑。基本的組成部分是個人動手訓練，使個人能夠按照自己的節奏工作，從而建立對學習至關重要的肌肉記憶。這種方法將使他們能夠通過遵循預先建立或規定的學習路徑來磨練自己的技能。 

理想情況下，技能開發應該足夠靈活，以允許項目負責人對其進行定制以滿足組織的安全需求以及其他安全人員的團隊需求。

使用團隊威脅練習驗證是否已獲得技能。技能驗證對于網絡準備培訓的成功絕對至關重要。該過程應包括使用在現實環境中進行的基于團隊的練習對個人技能的常規評估。 

為了真實有效，這個過程必須考慮到人們有不同的才能，有些人在某些情況下比其他人更快，有些人做出更好的決定，有些人是更好的防守者，有些人是更好的攻擊者。

MITRE D3FEND 框架是增強網絡防御準備的出色工具。但是，它只有在確保它與組織面臨的主要威脅適當保持一致的規劃中才有效。這包括根據個人分析師和整個安全團隊的當前技能和期望的成就水平定制內容。