« NISTがサイバーサプライチェーンリスクの影響分析ツールを公表していますね。。。 | Main | 人工知能と感情知性に関する倫理(2020.07.30) »

2020.08.27

MITRE Shield vs MITRE ATT&CK

こんにちは、丸山満彦です。

MITREも攻撃側の話としてATT&CKが有名ですが、それに対する防御であるShieldが公表されていますね。。。ウェブの色もそれぞれATT&CKが赤、Shieldが青ですね。。。

ATT&CKに対するShieldとのマッピング(ATT&CK Mapping Overview )があるのが良いですね。。。

MITRE

・2020.08.24 (Project Story) SHIELDS UP: A GOOD CYBER DEFENSE IS AN ACTIVE DEFENSE

No one wants an adversary to penetrate their network. But when it happens, intrusion presents otherwise unavailable opportunities for cyber defenders. MITRE now offers a free resource for defenders who want to take the advantage with an active defense.

MITRE Shield

Active Defense Matrix

Active Defense Tactics

ID Name 名前 Description 概要
DTA0001 Channel チャンネル Guide an adversary down a specific path or in a specific direction. 敵を特定の経路または特定の方向に誘導する。
DTA0002 Collect 収集 Gather adversary tools, observe tactics, and collect other raw intelligence about the adversary's activity. 敵のツールを収集し、戦術を観察し、敵の活動に関するその他の生の情報を収集する。
DTA0003 Contain 封じ込め Prevent an adversary from moving outside specific bounds or constraints. 敵が特定の境界や制約の外に移動するのを防ぐ。
DTA0004 Detect 検出 Establish or maintain awareness into what an adversary is doing. 敵が行っていることについての認識を確立し維持する。
DTA0005 Disrupt 混乱 Prevent an adversary from conducting part or all of their mission. 敵が任務の一部または全部を遂行することを防ぐ。
DTA0006 Facilitate 促進 Enable an adversary to conduct part or all of their mission. 敵が任務の一部または全部を遂行できるようにする。
DTA0007 Legitimize 正当化 Add authenticity to deceptive components to convince an adversary that something is real. 偽物に信頼性を追加し敵にそれが本物であると思わせる。
DTA0008 Test テスト Determine the interests, capabilities, or behaviors of an adversary. 敵の興味、能力、行動を見極める。

 

 

Shield_20200827033101


報道等

Dark Reading
・2020.08.24 MITRE Releases 'Shield' Active Defense Framework by Jai Vijayan

Free knowledge base offers techniques and tactics for engaging with and better defending against network intruders.

securityweek
・2020.08.25 MITRE Introduces 'Shield' Defense Knowledge Base by Ionut Arghire 

The MITRE Corporation has taken the wraps off a knowledge base of common techniques and tactics that defenders can use to ensure their networks and assets are kept secure.

 보안뉴스
・202008.25 마이터 코퍼레이션 새로운 방어 프레임워크, 쉴드 발표

어택과 비슷한 방어용 프레임워크...능동적 방어 전략과 기술을 모아
“공격자와의 조우는 공격자에 대해 더 잘 이해할 수 있는 기회”


Security Lab
・2020.08.25 MITRE представила новое руководство по защите от кибератак

MITRE Shield содержит восемь разделов, посвященным различным тактикам обеспечения защиты.

 


Active Defense Techniques

 

 

ID Name 名前 Description 説明
DTE0001 Admin Access 管理者アクセス Modify a user's administrative privileges. ユーザの管理者権限を変更する。
DTE0003 API Monitoring API監視 Monitor local APIs that might be used by adversary tools and activity. 攻撃者のツールやアクティビティによって使用される可能性のあるローカルAPIを監視する。
DTE0004 Application Diversity アプリケーションの多様性 Present the adversary with a variety of installed applications and services. インストールされているアプリケーションとサービスを敵に示す。
DTE0005 Backup and Recovery バックアップとリカバリ Make copies of key system software, configuration, and data to enable rapid system restoration. 主要なシステムソフトウェア、構成、およびデータのコピーを作成し、迅速なシステム復元を可能にする。
DTE0006 Baseline ベースライン Identify key system elements to establish a baseline and be prepared to reset a system to that baseline when necessary. 主要なシステム要素を特定してベースラインを確立し、必要に応じてシステムをそのベースラインにリセットする準備をする。
DTE0007 Behavioral Analytics 行動分析 Deploy tools that detect unusual system or user behavior. 異常なシステムまたはユーザーの動作を検出するツールを展開する。
DTE0008 Burn-In 導通テスト Exercise a target system in a manner where it will generate desirable system artifacts. ターゲットシステムを、望ましいシステムアーティファクトを生成する方法で実行する。
DTE0010 Decoy Account おとりアカウント Create an account that is used for active defense purposes. 積極的防御目的で使用されるアカウントを作成する。
DTE0011 Decoy Content おとりコンテンツ Seed content that can be used to lead an adversary in a specific direction, entice a behavior, etc. 敵を特定の方向に導き、行動を誘導するために使用できるシードコンテンツ。
DTE0012 Decoy Credentials おとり資格情報 Create user credentials that are used for active defense purposes. 積極的防御目的で使用するユーザ資格情報を作成する。
DTE0013 Decoy Diversity おとりの多様性 Deploy a set of decoy systems with different OS and software configurations. OSとソフトウェアの構成が異なるおとりシステムのセットを展開する。
DTE0014 Decoy Network おとりネットワーク Create a target network with a set of target systems, for the purpose of active defense. 積極的防御を目的とするターゲットシステムのためのターゲットネットワークを作成する。
DTE0015 Decoy Persona おとりペルソナ Develop personal information (aka a backstory) about a user and plant data to support that backstory. ユーザとプラントデータに関する個人情報(別名バックストーリー)を作成し、その背景ストーリーを作成する。
DTE0016 Decoy Process おとりプロセス Execute software on a target system for the purposes of the defender. 防御側の目的のためにターゲットシステムでソフトウェアを実行する。
DTE0017 Decoy System おとりシステム Configure a computing system to serve as an attack target or experimental environment. 攻撃対象または実験環境として機能するようにコンピュータシステムを構成する。
DTE0018 Detonate Malware マルウェアを爆発させる Execute malware under controlled conditions to analyze its functionality. 制御された条件下でマルウェアを実行し、その機能を分析する。
DTE0019 Email Manipulation メール操作 Modify the flow or contents of email. メールの流れや内容を変更する。
DTE0020 Hardware Manipulation ハードウェア操作 Alter the hardware configuration of a system to limit what an adversary can do with the device. システムのハードウェア構成を変更して、敵がデバイスで実行できることを制限する。
DTE0021 Hunting ハンティング The process of searching for the presence of or information about an adversary. 敵の存在または情報を検索するプロセス。
DTE0022 Isolation 分離 Configure devices, systems, networks, etc. to contain activity and data in order to promote inspection or prevent expanding an engagement beyond desired limits. デバイス、システム、ネットワーク等を構成し、アクティビティやデータを格納し、検査を促進したり、想定する限界を超えてエンゲージメントを拡大しないようにする。
DTE0023 Migrate Attack Vector 攻撃ベクトルの移行 Move a malicious link, file, or device from its intended location to a decoy system or network for execution/use. 悪意のあるリンク、ファイル、またはデバイスを、意図した場所からおとりのシステムやネットワークに移動して実行/使用する。
DTE0025 Network Diversity ネットワークの多様性 Use a diverse set of devices on the network to help establish the legitimacy of a decoy network. おとりネットワークの正当性を確立するために、ネットワーク上でさまざまなデバイスのセットを使用する。
DTE0026 Network Manipulation ネットワーク操作 Make changes to network properties and functions to achieve a desired effect. ネットワークのプロパティと機能を変更して、目的の効果を実現する。
DTE0027 Network Monitoring ネットワーク監視 Monitor network traffic in order to detect adversary activity. 攻撃者のアクティビティを検出するためにネットワークトラフィックを監視する。
DTE0028 PCAP Collection PCAPコレクション Collect full network traffic for future research and analysis. 将来の調査と分析のために、ネットワークトラフィック全体を収集する。
DTE0029 Peripheral Management 周辺管理 Manage peripheral devices used on systems within the network for active defense purposes. アクティブな防御目的でネットワーク内のシステムで使用される周辺機器を管理する。
DTE0030 Pocket Litter ポケットのくず Place data on a system to reinforce the legitimacy of the system or user. システムまたはユーザの正当性を強化するためにシステムにデータを配置する。
DTE0031 Protocol Decoder プロトコルデコーダ Use software designed to deobfuscate or decrypt adversary command and control (C2) or data exfiltration traffic. 攻撃者のコマンドアンドコントロール(C2)またはデータの引き出しトラフィックを解読または復号化するように設計されたソフトウェアを使用する。
DTE0032 Security Controls セキュリティ対策 Alter security controls to make the system more or less vulnerable to attack. セキュリティ制御を変更して、システムを攻撃に対して多少脆弱にする。
DTE0033 Standard Operating Procedure 標準操作手順 Establish a structured way of interacting with systems so that non-standard interactions are more easily detectable. システムとの相互作用の構造化された方法を確立し、非標準的な相互作用をより容易に検出できるようにする。
DTE0034 System Activity Monitoring システム活動監視 Collect system activity logs which can reveal adversary activity. システムの活動ログを収集し、攻撃者の活動を明らかにする。
DTE0035 User Training ユーザトレーニング Train users to detect malicious intent or activity, how to report it, etc. 悪意のある意図や活動を検出する方法、報告方法などについて、ユーザを訓練する。
DTE0036 Software Manipulation ソフトウェア操作 Make changes to a system's software properties and functions to achieve a desired effect. 目的の効果を達成するために、システムのソフトウェアの特性や機能に変更を加えます。

 

|

« NISTがサイバーサプライチェーンリスクの影響分析ツールを公表していますね。。。 | Main | 人工知能と感情知性に関する倫理(2020.07.30) »

Comments

Post a comment



(Not displayed with comment.)




« NISTがサイバーサプライチェーンリスクの影響分析ツールを公表していますね。。。 | Main | 人工知能と感情知性に関する倫理(2020.07.30) »