MITRE是美国一家致力于解决国防、网络安全、医疗保健、国土安全、司法和交通难题的非营利性公司。在网络安全领域最为著名的就是MITRE ATT&CK框架。该框架被誉为“引领全球网络安全攻防潮流的技战法知识库”。

在ATT&CK的基础上，MITRE于去年下半年发布了同样引起业界广泛关注的主动防御知识库Shield。今年8月，MITRE再次推出Shield的进阶版——Engage。Engage有“融入”的意思，其目的是希望从理论走向落地，为各组织、政府、厂商带来更大的价值。Engage和Shield包含很多相同的信息，但概念还是有所不同。

MITRE Shield被认为是各组织机构实施主动防御的指导框架和重要资源。但它更多是一个知识库的角色，由八列“战术”组成的矩阵，每列包含一个“技术”清单，而不是一个辅助工具，没有告诉防守团队何时采取何种战术或技术。

Engage比Shield更精简，不再使用“战术”和“技术”这些容易让读者与ATT&CK框架混淆的术语，而采用“方法”和“活动”这样的词汇，即方法对应原来的战术，活动对应原来的技术。但最重要的是，Engage比Shield更倾向于创建活动，可操作性更强——在特定战略目标的指导下，选择相应的活动，更有针对性地完成概念落地。

 Engage框架中文版和术语释义在“默安科技”公众号聊天框回复“Engage”获取下载链接。

（如对翻译内容有异议，欢迎在文章下方留言交流）

在MITRE Shield的30余种技术中，虚假账户、凭证、网络、用户信息、系统等欺骗防御技术占比近一半。因此，除了数据备份等基础防御技术，Shield主动防御框架的实现核心是适用于攻防实战的欺骗防御。Engage是Shield的升级版，从其方法和活动中可以看出核心仍然围绕欺骗防御。

欺骗防御的原理就是通过虚假文件、帐户、应用等欺骗攻击者，扰乱攻击过程，让他们远离真实资产，同时帮助防御人员及时发现攻击者并观察攻击者活动。但目前欺骗防御仍然不是绝大部分安全工具箱中的必需品。MITRE Engage主要负责人Maretta Morovitz认为可能有以下几个原因：

1. 欺骗防御发挥作用建立在有攻击发生的假设之上，往往不受高层欢迎；

2. 对于一个成熟度较低的安全运营中心来说，欺骗防御容易让人感觉过于复杂。

但事实上，欺骗防御不仅是拥有强大SOC的高级安全团队的专属。很多欺骗防御的目标都可以通过简单的技术活动实现。Maretta Morovitz 表示欺骗是一个完整的过程，而不仅仅一些欺骗技巧。如果把欺骗防御想成一个整体过程，考虑你想达到的整体目标，防御人员只需要紧紧抓住Engage框架中对整体目标实现有益的活动即可。

Engage框架的“方法”（原来称为“战术”）主要包括三个整体目标：

1. 检测（Expose）：发现系统中的攻击者；

2. 影响（Affect）：影响或干扰攻击者与目标系统的交互；

3. 引出（Elicit）：获取攻击者情报。

另一位Engage负责人Stanley Barr表示，希望Engage推动欺骗防御技术的进一步发展。目前，绝大部分厂商都聚焦于攻击者的发现，有些也在探索影响攻击活动的产品，而很少有厂商关注攻击者情报的获取。随着该领域的日渐成熟，希望供应商可以提供更加成熟的欺骗防御产品，形成细分赛道。

在今年的美国RSAC大会上，MITRE的CISO William Hill分享了“Getting Started with MITRE Shield”的议题。其中重点提到了防守者应对APT攻击的6个阶段：

① 被动阶段：通过日志、IoC入侵指标、样本等基础信息发现APT

② 逐渐转向主动：构造简单的蜜罐

③ 主动欺骗：引入专门的账号、应用、数据、凭证等诱饵，提高仿真度，MITRE Shield涵盖的技战术也基本停留在这个阶段。

④ 与攻击者交互：防守者能够观察和分析攻击者活动并获得更加丰富的APT攻击样本信息。

⑤ 主动防御：还原完整攻击链，并在一定程度上展开攻击反制，但反制操作仍有局限

⑥ 攻击反制：锁定攻击人员身份，完全控制攻击者设备

这个分析也体现了Stanley Barr编写Engage的初衷。MITRE Engage将APT攻击的应对技术从“主动欺骗”延申到了“与攻击者交互”和“主动防御”甚至反制的阶段，从单纯的威胁检测发展到干扰攻击者活动、获取攻击情报、控制攻击者，彻底扭转被动局面。

事实上，默安科技作为欺骗防御领域的领导者，于2020年推出完整的欺骗防御体系，其中包含攻击反制和威胁情报平台，实际已经完成从基础检测到主动防御的全阶段能力储备，完全支持检测（Expose）、影响（Affect）和引出（Elicit）三个Engage核心目标的实现。也就是说，默安可根据客户实际需求，提供相应的产品与服务能力，落地Engage框架和主动防御体系的建设。

Engage是MITRE推动欺骗防御发展的新举措。短期来看，Engage有利于形成标准的欺骗防御术语体系，推动欺骗防御生态体系的建设；从长期看，Engage框架能够促进供应商探索新的细分市场，同时帮助人们理解欺骗防御的战略潜力。

参考链接：

1.www.scmagazine.com/analysis/deception/mitres-new-deception-framework-one-part-strategy-one-part-conversation

2. engage.mitre.org