NIST 指南和 MITRE ATT&CK 影响组织 - Microsoft 平台管理 - 博客 - Quest Community

2020 年，我们将看到越来越多的企业组织采用 NIST 指南和 MITRE ATT&CK 安全缓解建议来保护其 Active Directory 和 Office 365 数据。这些指南都不是必需的，但它们确实提供了有关 2FA、密码和零信任的最佳实践，以及对可能的攻击途径以及如何防御它们的深入了解。

这篇文章是我对 2020 年的第一篇深入预测（在此处查看所有 7 个预测），我将概述每个组织提供的内容、它们如何影响 Active Directory 安全以及您可以从哪里获得更多信息。

什么是 NIST 网络安全框架？

2013 年 2 月 12 日，第 13636 号行政命令指示美国国家标准技术研究院 (NIST) 与公共和私人利益相关者合作，制定一个自愿框架，以减少关键基础设施的网络安全风险。

由此产生的NIST 网络安全框架适用于每个组织，无论其规模、垂直行业和 IT 复杂程度如何。该标准不是强制性的，也不注重合规性；相反，它使 IT 组织能够建立持续的流程来改善其网络安全状况。

对于 Active Directory，没有比这更好的地方来应用该框架的五项网络安全功能了：

1. 识别：哪些资产需要保护？即，识别具有高特权的用户和组。
2. 保护：有哪些可用的保护措施？例如，2FA、对目录中对象更改的零信任等。
3. 检测：哪些技术可以识别事件？例如，端点监控、PowerShell 监控、Active Directory 更改等。
4. 响应：哪些技术可以遏制事件的影响？例如，自动回滚组策略更改或暂时禁用有问题的帐户或未经授权的 PowerShell 脚本。
5. 恢复：哪些技术可以恢复功能？即，如何从导致所有域控制器瘫痪的勒索软件攻击中恢复？

保护用户凭据免受 NIST 攻击是每个组织都必须做的事情。

什么是 MITRE ATT&CK 矩阵？

保护环境的另一种方法是了解攻击者从其工具箱中使用的方法。输入MITRE ATT&CK，这是一个“基于现实世界观察的对手战术和技术的知识库”。 ” 这是由集体网络安全社区构建的免费资源。

您特别感兴趣的是 Windows 版企业矩阵。在这里，您可以根据攻击策略深入了解各种攻击方法，并详细了解其使用方式、运行该攻击需要什么权限、缓解措施以及如何检测攻击。

每个攻击者都有自己的方法，MITRE ATT&CK 很快就成为了解这些方法并采取措施保护环境的地方。

帮助您开始使用 NIST 和 MITRE ATT&CK 的资源

要开始使用 NIST，我鼓励您阅读题为 的白皮书中有关该框架的更多信息，以及它如何补充 Microsoft 的 ESAE（“红森林”）作为保护凭证的模型，特别是驻留在 Active Directory 中的凭证如何在 Active Directory 中实施 NIST、ESAE 和 Red Forest 网络安全原则。

• 域组和成员
• 域用户
• 领域摘要
• 活动目录权限