Доброго времени суток.
В прошлой статье я рассматривал MITRE ATT&CK, которая показывает техники, используемые злоумышленниками при атаке.
Летом 2021 года корпорация MITRE представила свету новую матрицу. Это не обновленная версия ATT&CK, а матрица
Матрица DEF3ND предназначена для помощи в работе DevSecOps и сисадминам для защиты периметра. DEF3ND еще в разработке, но уже представляет интерес. Она описывает техники, которые кажутся само собой разумеющимися, но все же присутствуют не везде. Матрица ни в коем случае не панацея, это рекомендации по противодействию киберугрозам. Следовать им или нет остается на ваше усмотрение в зависимости от требований компании.
Матрица разделена на следующие разделы:
Harden - описывает практики для укрепления периметра. Рекомендации, которые стоит реализовать в любом случае. Хорошо подойдет в качестве подсказки системным администраторам и DevSecOps для выстраивания SDLC. Это и многофакторная аутентификация и чистка кода от лишних комментариев.
Detect - анализ и обнаружение аномалий в поведении пользователей. Рекомендации, которые можно уже применять при реализации AntiFraud-системы. Для продвинутых команд, у которых развиты Blue Team и DevSecOps. Но и людям, которые просто хотят поднять уровень безопасности тоже подойдет.
Isolate - изоляция процессов. Два направления - Decoy Isolation и Network Isolation. Первая о изоляции приложений, вторая о изоляции сети. Описывают что делать для минимизации риска. Прежде чем внедрять, стоит эти риски оценить, чтобы не делать лишней работы и не пропустить чего-то важного.
Deceive - техники для Honeypot.
Evict - описывает что делать с уже ненужными учетками и процессами. Как говорится, “Выселение - не ответ. Выселение - это вопрос. А ответ - да”.
По структуре матрица похожа на ATT&CK. Разделы поделены на техники, в каждой технике есть определение, описание работы и предложение как с этим бороться.
Для каждой техники представлена информация о найденной уязвимости в References и ссылка на статью. Своеобразный PoC.
Кроме матрицы представлен список артефактов
Каждый артефакт можно просмотреть подробнее для лучшего использования в дальнейшем. Артефакты включают в себя подробное описание и "Parent Classes". Parent Classes можно использовать, чтобы быстро найти связанные понятия и артефакты. Это помогает и в структурировании.
DEF3ND и ATT&CK взаимосвязаны и техники обеих матриц можно просматривать в быстром доступе.
Кроме того во вкладке resources, располагается Changelog и полезные ресурсы. Такие, как например ”DEF3ND Technique Tree”.
На этом все.
Стоит учитывать, что матрица еще в бета тестировании, следовательно информации немного, да и перевода нет, только Google Переводчик в помощь и опыт. Наполнением матрицы может заниматься любой, не забывайте об этом. Несмотря на маленькое количество техник в сравнении с ATT&CK, из нее уже можно почерпнуть много практик, которые помогут в обеспечении безопасности периметра.
В прошлой статье я рассматривал MITRE ATT&CK, которая показывает техники, используемые злоумышленниками при атаке.
Летом 2021 года корпорация MITRE представила свету новую матрицу. Это не обновленная версия ATT&CK, а матрица
Ссылка скрыта от гостей
.
Матрица DEF3ND предназначена для помощи в работе DevSecOps и сисадминам для защиты периметра. DEF3ND еще в разработке, но уже представляет интерес. Она описывает техники, которые кажутся само собой разумеющимися, но все же присутствуют не везде. Матрица ни в коем случае не панацея, это рекомендации по противодействию киберугрозам. Следовать им или нет остается на ваше усмотрение в зависимости от требований компании.
Матрица разделена на следующие разделы:
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
-
Ссылка скрыта от гостей
Harden - описывает практики для укрепления периметра. Рекомендации, которые стоит реализовать в любом случае. Хорошо подойдет в качестве подсказки системным администраторам и DevSecOps для выстраивания SDLC. Это и многофакторная аутентификация и чистка кода от лишних комментариев.
Detect - анализ и обнаружение аномалий в поведении пользователей. Рекомендации, которые можно уже применять при реализации AntiFraud-системы. Для продвинутых команд, у которых развиты Blue Team и DevSecOps. Но и людям, которые просто хотят поднять уровень безопасности тоже подойдет.
Isolate - изоляция процессов. Два направления - Decoy Isolation и Network Isolation. Первая о изоляции приложений, вторая о изоляции сети. Описывают что делать для минимизации риска. Прежде чем внедрять, стоит эти риски оценить, чтобы не делать лишней работы и не пропустить чего-то важного.
Deceive - техники для Honeypot.
Evict - описывает что делать с уже ненужными учетками и процессами. Как говорится, “Выселение - не ответ. Выселение - это вопрос. А ответ - да”.
По структуре матрица похожа на ATT&CK. Разделы поделены на техники, в каждой технике есть определение, описание работы и предложение как с этим бороться.
Для каждой техники представлена информация о найденной уязвимости в References и ссылка на статью. Своеобразный PoC.
Кроме матрицы представлен список артефактов
Каждый артефакт можно просмотреть подробнее для лучшего использования в дальнейшем. Артефакты включают в себя подробное описание и "Parent Classes". Parent Classes можно использовать, чтобы быстро найти связанные понятия и артефакты. Это помогает и в структурировании.
DEF3ND и ATT&CK взаимосвязаны и техники обеих матриц можно просматривать в быстром доступе.
Кроме того во вкладке resources, располагается Changelog и полезные ресурсы. Такие, как например ”DEF3ND Technique Tree”.
На этом все.
Стоит учитывать, что матрица еще в бета тестировании, следовательно информации немного, да и перевода нет, только Google Переводчик в помощь и опыт. Наполнением матрицы может заниматься любой, не забывайте об этом. Несмотря на маленькое количество техник в сравнении с ATT&CK, из нее уже можно почерпнуть много практик, которые помогут в обеспечении безопасности периметра.
Последнее редактирование модератором:
