MITRE Engage将取代MITRE Shield，聚焦交战、拒绝与欺敌领域最新消息

近两三年来，在资安界有一套框架当红，那就是MITRE ATT&CK框架，将现实骇客组织入侵技术汇整成攻击知识库，而为了扭转企业面对攻击经常处于被动的局面，在2020年8月，MITRE公布主动式防御（Active Defense）的知识库，称为MITRE Shield，希望帮助企业组织成为更好的防守者，近期，MITRE将它重新定名为MITRE Engage，并预告在今年秋季会发布正式版本。

简化框架内容，聚焦在交战、阻断、欺敌等三大主轴

基本上，过去的资安攻防，只能任由攻击者选择时间、地点与交战方式，而MITRE Engage（Shield）的目的，则是希望能反过来，改善作战计划，希望防守者可在防御范围之内，进一步控制对手，并影响时间、地点与交战方式，在此过程，将与攻击者互动抗衡，并学习与观察对方使用的手法，阻绝攻击者，使其无法摸索企业组织的防御环境。

关于名称的变更，MITRE也提出了解释。他们从资安社群得到许多技术性意见，因此，将Shield架构简化，专注在下列三大领域，分别是：对手交战（Adversary Engagement）、阻断（Denial），以及欺敌（Deception）。相较之下，过去MITRE Shield的定义，其实还包括网络安全防护的构面。

而Engage的目的将更为明确，聚焦于与对手交战的策略与技术，并汇整成更有计划与执行力的战略与具体活动，对于民间企业、-机构，以及供应商组织等，都可以带来帮助，做到更主动的资安防护。

关于三大主轴的定义，根据MITRE的说明，以交战的方式而言，其实就是结合了拒绝与欺骗，让对手在网络攻击行动上，变得成本增加以及价值降低，目标是要让对手与其弱点暴露，了解攻击者的能力与意图，并让对方付出更多代价。

阻断与欺敌自然也是重点。以网络阻断而言，是阻止对手收集情报的能力，或是削弱对手收集情报的努力，同时也用于阻止或破坏对手在行动中的尝试；以网络欺敌而言，防守方透过亦虚亦实的欺骗手段，来误导对手，借由隐瞒关键事实与虚构，让攻击者无法正确评估，或是采取适当行动。

与旧版MITRE Shield相比，新的MITRE Engage将更聚焦在对手交战、阻断与欺敌的领域，同时也提出更具体的画分，包括战略目标（准备、理解）与交战目标（暴露、影响与引出），而在目标之下，也分成9大方法与33项具体活动。而MITRE也表示，当MITRE Engage正式版发布后，MITRE Shield将被完全取代，

重新定义两大类型：战略行动与交战行动

除了简化其范围，让Engage框架内容更明确，MITRE为了消除歧义，因此框架中的项目也有一些变动调整。

例如，在ATT&CK矩阵提到的攻击战术流程，如Tactics、Techniques等，在Engage矩阵当中，将会使用不同术语。

例如，Engage在术语上，将用“方法（Approaches）”，来替代ATT&CK当中采用的“战术（Tactics）”，同时，也以“活动（Activities）”，来替代ATT&CK中采用的“技法（Techniques）”。

因此，现有的Engage矩阵有何不同？简单来说，之前Shield具有8个战术阶段，以及36项技术手法，现在Engage则画分为9个方法，以及31个具体活动，同时还新增了更高的目标层级内容，并区分为战略行动与交战行动两种类别。

具体而言，Engage拟出了5大目标，包含：准备、暴露、影响、引出与理解。位于最前的“准备”，以及最后的“理解”项目，其实，就是战略行动的目标，而“暴露”、“影响”、“引出”则是属于交战行动的目标。

同时，MITRE重新统整出9类交战方法，依序是：准备项目的计划（Planning），暴露项目的收集（Collection）、侦测（Detection），影响项目的防护（Prevention）、引导（Direction ）与中断（Disruption），引出项目的再确保（Reassurance）、动机（Motivation），以及理解项目的分析（Analysis）。

至于在各种交战方法之下，我们可采取哪些具体活动？以战略行动而言，目前MITRE提出9种具体活动，而以交战行动而言，可归为22种具体活动，累计起来共31种。以收集的方法为例，包含API Monitoring、Network Monitoring、Software Manipulation与System Activity Monitoring这四种具体活动。

整体而言，新的MITRE Engage不仅将策略与技术这样的术语，更改为方法与活动，内容也更聚焦，因此具体活动的项目减少了，同时也去除使用情境与机会空间的概念，不过另外增加对手漏洞的概念。