CISA推出免费开源工具Decider，助力网络防御者

主要重点

美国网络安全和基础设施安全局（CISA）推出了一款免费的开源工具，名为，旨在帮助防御者将对手行为映射到MITREATT&CK框架。该工具通过提出指导性问题，使用最少的技术语言来简化映射过程，使防御者能够确定正确的战术、技术或子技术。

ATT&CK框架是一个全球范围内可获取的知识库，记录了基于实际观察的攻击者战术和技术。它将各种对手战术进行分类，并详细列出，以帮助防御者制定有效的检测和缓解策略。

随著ATT&CK在企业网络安全中的使用越来越广泛，CISA发现，映射ATT&CK涉及许多错综复杂的细节，“正确映射非常重要，但容易出错。”

CISA表示：“许多相关方反映他们不知道如何开始映射ATT&CK，或者不确定是否正确映射了对手行为。”

CISA开发Decider以协助防御者完成此过程。

Decider以决策树格式提出指导性问题（图片来源：CISA）

在主要工作流中，Decider提出一系列以决策树为格式的指导性问题。回答这些问题后，用户将被引导到合适的战术、技术和子技术，直到完成映射。

例如，问题可能是：“对手试图实现什么目标？” 而潜在回答可能是“在受害者环境中获得初步立足点”，这与初始访问战术相符。

Decider将继续提出其他相关问题，直到用户找到适用的子技术，如果没有，则提供技术。

该工具的搜索功能还允许用户直接访问一种技术或子技术，即使主要工作流未能呈现正确技术或用户已经识别出所使用的技术。

搜索功能允许用户直接访问一种技术（图片来源：CISA）

Netenrich的首席威胁猎人John Bambenek表示，像Decider这样的开源工具使行业更接近“标准化攻击信息的承诺之地”。

他说：“每个人对映射相同行为都有些许差异。有了标准化框架，每个人都能以同样的方式描述相同的攻击。”

Deepwatch安全战略副总裁Justin Edgar补充道：“该工具使分析人员能够利用一致的、以框架支持的筛选和响应过程。”

该工具是与国土安全系统工程与发展研究所及MITRE合作开发的，现已可在上下载。它是一个需要托管的