MITRE D3FEND: матрица противодействия
MITRE ATT&CK — одна из популярнейших методологий среди специалистов по информационной безопасности, теперь дополнена матрицей противодействия — D3FEND, что позволит адаптировать защиту от конкретных киберугроз.
В дополнение к модели ATT&CK, основанной на угрозах, D3FEND предоставляет модель способов противодействия распространенным наступательным приемам, перечисляя различные защитные меры и их влияние на укрепление защиты.
D3FEND позволяет профессионалам в области кибербезопасности адаптировать защиту от конкретных киберугроз, тем самым уменьшая потенциальную поверхность атаки. В результате D3FEND будет способствовать более эффективному проектированию, развертыванию и защите сетевых систем в целом.
Таблица знаний о мерах противодействия кибербезопасности содержит 4 раздела:
Упрочнение
В этом разделе содержится информация об укреплении защиты приложений, учетных данных, сообщений и платформ.
Обнаружение
Раздел содержит информацию о выявлении угроз: файловый анализ; анализ идентификаторов; анализ сообщений; сетевой анализ; мониторинга платформы; анализ процессов; поведенческий поведения.
Изолирование
Раздел содержит информацию о средах изоляции при исполнении или сетевом взаимодействии.
Хитрости
Этот раздел посвящен средствам обмана злоумышленника: хонейпот системам и приманкам, для выявления злоумышленников.
Изгнание
Раздел посвящен блокировке скомпрометированных ресурсов/учетных данных.
Такие платформы, как ATT&CK и D3FEND, предоставляют независимые инструменты для промышленности и государственного сектора проводить анализ и противодействовать актуальным угрозам.
Данное исследование было профинансировано АНБ и было направленно на повышение кибербезопасности систем национальной безопасности, министерства обороны и оборонной промышленной базы.
Специалисты по кибербезопасности могут оставлять комментарии для улучшения и добавления в структуру, связавшись с командой MITRE D3FEND по адресу https://d3fend.mitre.org.
В РФ тоже существует аналогичная структура https://bdu.fstec.ru/ — банк данных угроз:
Целью создания и ведения настоящего Банка данных угроз безопасности информации является повышение информированности заинтересованных лиц о существующих угрозах безопасности информации в информационных (автоматизированных) системах.
Банк данных угроз безопасности информации предназначен для заказчиков, операторов, разработчиков информационных (автоматизированных) систем и их систем защиты, разработчиков и производителей средств защиты информации, испытательных лабораторий и органов по сертификации средств защиты информации, а также иных заинтересованных организаций и лиц.
Банк данных угроз безопасности информации содержит сведения об основных угрозах безопасности информации и уязвимостях, в первую очередь, характерных для государственных информационных систем и автоматизированных систем управления производственными и технологическими процессами критически важных объектов.
Сведения об угрозах безопасности информации и уязвимостях программного обеспечения, содержащиеся в Банке данных угроз безопасности информации, не являются исчерпывающими и могут быть дополнены по результатам анализа угроз безопасности информации и уязвимостей в конкретной информационной (автоматизированной) системе с учетом особенностей ее эксплуатации.
Угрозы безопасности информации, включенные в состав банка данных угроз, не являются элементами иерархической классификационной системы угроз, а представляют собой обобщенный перечень основных угроз безопасности информации, потенциально опасных для информационных систем.