Starter Kit内容

网络防御一直专注于深度防护技术的使用拒绝对手进入一个组织的网络或关键网络资产。在这种范式,对手可以任何时间访问一个新系统或漏出一块的数据网络,他们赢了。然而,当一个后卫欺骗性构件和系统介绍,它立即增加模棱两可的对手。系统的对手只是访问合法吗?对手的数据只是偷了真实的吗?这些问题开始抬高成本,同时降低对手的网络业务的价值。

网络拒绝是能够阻止或削弱对手的能力开展工作。这一中断可能会限制他们的活动,集合的努力,或他们的能力的有效性。网络欺骗故意显示欺骗性的事实和小说误导对手。此外,它隐瞒重要事实和小说防止对手形成正确的估计或采取适当行动。当网络否认和欺骗一起使用,在战略规划和分析的背景下,他们提供的基础对手订婚。

想与你分享这些定义组织吗?看看下面的白皮书和海报什么是对手订婚。

成功的对手接触操作可以分为四个部分:叙述,环境,监控,分析。

• 的叙述是欺骗的故事你打算把你的对手。
• 的订婚环境的精心设计,高度检测系统,设计engagement-by-engagement基础上,参与叙事的背景。这些系统可以完全隔离或集成到您的生产网络。
• 监控是指收集系统用于观察对手,因为他们通过环境。监控是至关重要的维持整个手术操作安全。
• 最后,分析是指你采取的行动将输出的操作转化为可操作的情报。

这些元素的结缔组织加入这四个是你的操作目标,你们订婚的终极目标。这个目标可以从以下的任意组合:

• 来暴露网络上的对手,
• 来影响对手的影响他们的运营能力,
• 和/或引起情报,了解对手的战术,技术和程序(ttp)。

对手接触操作提供机会的后卫来演示工具,测试假设,和改善他们的威胁模型,所有负面影响对手的好处。让我们一起探索这些组件是如何在对手参与操作。

对手订婚是一个迭代的、目标驱动的过程,不仅仅是技术堆栈的部署。是不够部署一个诱饵和申报成功。相反,你必须批判性地思考你的防守目标是什么以及如何否认,欺骗,和对手参与可用于驱动这些目标的进展。不像其他的防御技术,如杀毒软件(AV),对手接触技术不能被认为是“发射后不管”的解决方案。对手接触是一个思维游戏;是尽可能多的关于你的心态是你使用什么工具。与所述的过程帮助你考虑参与活动范围内的这种心态。

这个过程并不是唯一的网络欺骗。在军事欺骗的艺术和科学,巴顿惠利写了一章,定名为“欺骗的过程。“惠利了十步过程来创建军事欺骗。我们精炼和改造惠利网络领域的工作。

想与你的组织分享所述的过程吗?看看下面的白皮书和海报潜水。

就像在上面的图形中,所述的过程分为三个类别:准备,操作,理解。

• 在准备阶段,你定义你的业务目标。然后构造一个参与叙事,支持这一目标。这个故事告诉的设计参与环境和所有经营活动。另外,邀请你的准备步骤收集任何相关的利益相关者定义操作风险的可接受的水平。通过设置这种级别的风险,您可以构建清晰的交战规则(RoE)作为经营活动护栏。你的监控和分析功能应足以确保您的活动仍然在这些范围内。
• 在操作阶段,实现和部署你的设计活动。我们探索这些活动更多实施的方法下面的部分。
• 最后,理解阶段指导您操作输出转化为可操作的情报评估你是否见过你的业务目标。此外,这种评价给你机会获取经验教训和改进未来的活动。

既然您了解对手接触背后的基本原理,您已经准备好开始学习的一些术语。第2部分。学习他们的语言

对于任何技术领域,语言很重要。在本节中,我们向您提供的参与关键术语的词汇表。目前,对手参与社区缺少一组内聚的共享。这个文档是我们尝试捕捉最常用的术语和定义。然而,这应该被视为一个生活文档作为我们继续向社会求助建设和标准化这些术语。花一些时间来阅读这个术语表,熟悉一些基本的术语。

现在您已经探索了一些标准条款,开始识别关键涉众和用户在您的组织需要谈话当我们移动的一部分来实施这些方法。这些利益相关者包括行政领导、法律和信息安全,等等。这些声音和观点很重要当你开始将这些技术集成到你的防守策略。

现在你了解对手订婚的术语,你已经准备好开始实施这些方法在自己的操作。第3部分。实施的方法

让我们开始探索进行矩阵,你的对手参与战略的基础。矩阵是一个共享的参考,进行桥梁之间的差距捍卫者和决策者在讨论和规划否认,欺骗,和对手参与活动。矩阵允许我们将理论所述过程应用到一个实际操作。在其核心,矩阵赋予你确定你的对手接触目标,然后用这些目标形状经营活动。建立在此基础上,我们将创建一个操作模板,你可以适应适合自己的组织。

进行矩阵分解成几个组件,镜像所述的过程。

进行矩阵是垂直地分为两类的操作。战略行动见证了整个矩阵和确保适当的捍卫者驱动业务战略规划和分析。这些操作映射到所述的准备和了解阶段的过程。

参与行为是传统网络否认和欺骗活动用于驱动你的目标的进展。这些操作映射到所述过程的运作阶段。

进行矩阵进一步细分水平为目标,方法,和活动。矩阵的顶部是参与目标。目标是高层的结果你想操作来完成。

准备和理解目标聚焦于一个操作的输入和输出。当矩阵是线性的,所述的过程一样,它应该被视为周期性。随着手术的进行,不断调整和重新调整你的行动来推动进展你们订婚的目标。接触目标暴露,影响,引出。这些目标关注行动反对你的对手。让我们更详细地探索这些目标。

我们可以暴露对手在网络上通过使用欺骗性活动提供高保真警报当对手积极参与环境。

我们可以影响敌人通过对他们的业务产生负面影响。影响活动最终改变成本价值命题的网络操作的对手。您可能希望增加对手的经营成本或降低的价值来源于他们的操作。重要的是要注意,我们限制影响后卫的网络活动。我们不谈论黑客或任何对手的活动空间。这个区别很重要,以确保我们的国防活动是合法的!

我们可以引起信息了解ttp的对手。通过创建订婚环境独特的定制与特定的对手,对手的后卫可以鼓励披露更多或更高级的功能。观察敌人,因为他们操作可以提供可操作的网络威胁情报(CTI)数据通知其他后卫的防御。

下一行包含接触方法。方法让你对选定的目标取得进展。

战略的方法帮助你专注于你必须完成的步骤之前,期间和之后的操作,以确保你的活动是与你的总体战略。合作方式帮助你识别你想采取什么行动对你的对手和帮你开车进展的影响。

其余的矩阵是由参与其中活动。这些都是你所使用的具体技术方法。

你会发现同样的活动经常出现在一个或多个方法或目标。活动可以适应适合基于光谱的用例和目标的实现。此外,活动是由真正的对手的行为。当敌人从事特定的行为时,他们很容易暴露一个意想不到的弱点。在进行,我们将在每个横切ATT&CK®技术检查缺陷发现和识别参与活动,利用这个弱点。

通过参与活动映射到ATT&CK,我们可以更好的计划活动将使我们能够实现我们的战略目标。如果您不熟悉ATT&CK冠冕,花点时间探讨ATT&CK网站。

还花了一些时间探索进行矩阵。通过点击不同的组件,您可以了解更多关于每个行动。认为这些行动作为构建块创建的轮廓你的业务。

现在你正在运行自己的业务,您已经准备好开始为长期成功将对手接触集成到您的组织。第4部分。整合对手订婚

斜方进行循环说明了如何实施进行矩阵的一个操作。

这个周期没有定义的开始或者结束,但为了走在模型中,我们将开始收集原始数据从传感器。这个收集工具agnostic-it仅仅指的是你的收集方法无论如何收集发生。这些收集工具的范围可以从低成本的解决方案,比如收集Windows系统监控(Sysmon) / Auditd /等。、供应商的端点检测和响应(EDR)解决方案。周期的下一个步骤分析原始数据在现有CTI的上下文数据。在这里您可以使用工具,如斜方ATT&CK了解这个新数据。通过分析对手的行动和比较这些数据和过去的行为,这名后卫可以识别模式,提供对对手当前的迹象,和可能的未来,活动。有了这些知识,后卫可以使用矩阵确定参与的机会为了满足防守目标。应该注意的是,当你开始欺骗你的计划,你可能会严重依赖情报源,开源报告和/或信息共享组织学习目标对手的行为。欺骗当你建立你的能力,你可以补充这个CTI数据与见解通过观察对手在自己的环境。发现机会之后,是时候实现您的业务。在这个阶段,欺骗性资产部署和接触开始。

对手的行为应该把订婚。每次对手与参与交互环境,专家后卫最有效地改进经营活动管理操作。对手忽略或忽视部署吸引了吗?操作员可能移动或改变吸引更好的鼓励参与。敌人显示一个新的行为吗?为欺骗可能会有新的机会给这个新活动。结论的每个操作,经验教训,蒸馏情报,和其他操作的结果应该驱动未来的业务。

由后卫的目标,我们设计了以补充传统的网络防御策略。接触目标本身是不具有欺骗性的。因此,不难想象这些目标可能已经指导组织的安全实践。你担心内部威胁吗?看看周围的公开活动开始添加欺骗性工件关键资产。你有遗留系统,不再能够被更新吗?看看影响活动理解如何放置诱饵直接对手远离这些脆弱的系统。你觉得筋疲力尽的无尽的CVE打鼹鼠游戏?看看引出活动开始生成自己的CTI饲料来驱动你的防御对手的ttp的CVE而不是一天。无论你的防守目标,进行矩阵可以帮助你找到互补的参与活动,确保如果深度防护方法失败,你仍然控制。

虽然我们经常考虑对手接触作为一种独特的安全实践,最有效的和成熟的实现无缝地集成到一个组织的文化。正如我们训练我们的员工网络良好卫生习惯,我们必须培训安全社区考虑欺骗作为一项最佳实践。在美国,我们有临床学认为欺骗;我们认为欺骗是固有的消极的,狡猾的,不诚实的。然而,参与使后卫规范化否认和欺骗活动常规,必要的,和负责任的安全实践。

现在,您可以利用对手参与作为一个组织的安全文化的组成部分。这个入门指南是改编自参与手册。下面深入完整的手册,了解更多信息。

当你继续整合对手参与组织内,加入参与社区接受指导和支持。第5部分。加入社区

重要的是要考虑操作安全(OPSEC)担忧当将对手参与纳入您的组织的网络策略。首先,你必须考虑谁应该意识到你的对手参与项目。在横切,我们花了许多年密切抓住对手的使用参与我们的信息安全策略的一部分。只有经过多年的成功操作,我们决定更加开放对我们使用对手订婚的成熟和不断增长的社区。

有一个连续的两个极端之间的选择从来没有谈到对手接触和在会议上公开展示和发布工具。例如,一些组织可能找到中间立场通过共享操作和一个封闭群值得信赖的合作伙伴。不管你在哪里组织落在这个范围,要考虑利弊。通过保持一个封闭的项目,你可能有更多的机会参与毫无防备的对手。当敌人进入一个环境没有期待欺骗性的资产,他们自然的偏见可能会增加对环境中的缺陷和改进的整体可信度诡计。与外部程序,你可能有机会阻止对手通过增加模棱两可;如果他们知道欺骗是在玩,他们必须问题一切都在您的网络。此外,参与对手参与社区的利益或共享组,如参与社区,可能会暴露你的新技术和研究。它还可以让你比较操作数据补充和增强自己的发现。无论你选择了什么,重要的是收集涉众和仔细考虑你的选择在发展中程序的开始。

我们现在邀请你去探索与我们在页面的顶部选项卡。在这里你会发现我们的链接媒介的博客和我们的社会关注的焦点。此外,我们邀请你来看看我们工具选项卡来探索所有工具部分。

即使你选择让你的程序内部,斜方参与资源旨在帮助降低门槛在提高专业知识的天花板对手接触。

如果你选择加入参与社区,通过填写下面的表格联系我们,给我们发送电子邮件engage@mitre.org,或联系我们LinkedIn。