MITRE D3FEND

什么是 MITRE D3FEND 框架？

MITRE 是一家由政府支持的非营利性组织，开展由联邦政府资助的网络安全研究，为包括政府机构和国防承包商在内的所有部门提供防御性 IT 安全支持。MITRE^D3FEND™是 MITRE 定义为 "知识图谱 "的知识库，是防御性网络安全对策、技术组件及其关联和能力的资料库。它是MITRE^ATT&CK®网络犯罪分子战术、技术和程序 (TTP) 框架的补充。

MITRE D3FEND 框架映射了 ATT&CK 的对手 TTP 与防御对策之间的关系，用于制定与已知攻击者行为直接对应的防御策略。D3FEND 收集的战术和技术越来越多，定义了要监控的具体技术要素，以消除进攻性网络攻击。D3FEND 框架相对较新；MITRE 于 2021 年 7 月发布了测试版。

MITRE D3FEND 矩阵

MITRE ATT&CK 框架分为三个主要变体，称为矩阵（企业、移动和 ICS），但目前只有一个MITRE D3FEND 矩阵。D3FEND 的反制信息与 ATT&CK 的对手 TTP 层次结构类似，但是从防御角度组织的。战术是 D3FEND 层次结构中最高级别的分类，对应于防御者为应对网络攻击特定阶段而必须实现的具体目标。每个战术都包含多个技术和子技术，这些技术和子技术描述了实现相关防御战术目标的技术方法，并包括对相关 IT 安全行业标准、工具和专利的参考。

MITRE D3FEND 战术和最高级别技术

哈登
- 应用硬化
- 证书加固
- 信息加固
- 平台硬化
检测
- 文件分析
- 标识符分析
- 信息分析
- 网络流量分析
- 平台监控
- 过程分析
- 用户行为分析
隔离
- 执行隔离
- 网络隔离
欺骗
- 诱饵环境
- 诱饵物体
驱逐
- 证书驱逐
- 驱逐程序

D3FEND 还拥有 ATT&CK 中没有的被称为 "数字文物 "的独特的关联信息分级目录。数字文物代表数字概念和对象，目录有四个主要类别：顶级人工制品、文件、网络流量和软件。ATT&CK 的部分攻击性 TTP 已使用数字文物映射到 D3FEND 技术，作为识别相关反措施的参考，反之亦然。这些关联可在数字人工制品本体中搜索和查看。

如何使用 MITRE D3FEND 框架

D3FEND 验证了一种通用的防御性网络安全语言和分类等级，利益相关者在从头开始制定网络安全计划或评估现有网络计划、评估和比较软件或云供应商产品的安全态势，或为采购和投资提供信息时，可以使用这种语言和等级。

D3FEND 可实际应用于从中小型企业到大型企业的各种规模的组织。D3FEND 战术和技巧》可作为安全规划人员、架构师和决策者规划和设计集成网络防御和软件产品的核对表，这些产品最终将成为对手和组织数字资产之间的屏障。

虽然 ATT&CK 框架包括一些有限的缓解建议，但 D3FEND 提供了更正式、更有条理的防御对策见解，以缓解并实现监控、检测和应对网络攻击的长期战略。

常见问题

什么是 MITRE D3FEND？

MITRE D3FEND 是一个关于防御性网络安全对策、其组成部分和能力的知识库。它是 MITRE ATT&CK 框架的补充，该框架描述了网络犯罪分子的战术、技术和程序 (TTP)。MITRE D3FEND 框架映射了攻击者战术、技术和防御对策之间的关系，提供了一个防御技术和工件模型，以抵消或减轻特定的攻击性网络攻击策略。

MITRE D3FEND 代表什么？

D3FEND 是检测、拒绝和破坏框架（Detection, Denial, and Disruption Framework Empowering Network Defense）的缩写。

MITRE D3FEND 为什么引用专利？

IT 安全专利是 D3FEND 最初关注的重点。由于专利制度鼓励发明人和组织披露新技术的细节，并要求进行法律上的权威评估，因此这些专利包含了大量详细的工程设计信息和对先前科学知识的引用。

BlackBerry 网络安全在 MITRE ATT&CK 仿真中被证明 100% 有效

BlackBerry在 MITRE ATT&CK 2022 年的评估中，该公司的Cylance 网络安全解决方案套件在任何破坏发生之前，就已成功阻止了 Wizard Spider 和 Sandworm 攻击仿真。

BlackBerry's CylancePROTECT^®和 CylanceOPTICS^®和 ® 解决方案提供了对单个攻击技术的高置信度综合检测，有助于减少因误报而浪费的资源。

了解更多

更多资源

MITRE D3FEND 框架：终极指南