MITRE D3FEND

MITRE D3FEND (Detection, Denial, and Disruption Framework Empowering Network Defense) est une base de connaissances complémentaire à ATT&CK, lancée par MITRE en 2021 avec le sponsoring de la NSA. Là où ATT&CK répertorie les techniques offensives des attaquants, D3FEND catalogue les contre-mesures défensives techniques avec leur fondement scientifique, créant ainsi une cartographie attaque ↔ défense.

Structure : D3FEND organise les techniques défensives en 5 grandes catégories (Tactics défensives) : (1) Harden (durcissement — Application Hardening, Credential Hardening, Message Hardening, Platform Hardening) ; (2) Detect (détection — File Analysis, Identifier Analysis, Message Analysis, Network Traffic Analysis, Platform Monitoring, Process Analysis, User Behavior Analysis) ; (3) Isolate (isolation — Execution Isolation, Network Isolation) ; (4) Deceive (déception — Decoy Environment, Decoy Object) ; (5) Evict (éviction — Credential Eviction, Process Eviction). Chacune contient des dizaines de techniques (~120 au total) avec relations digital artifacts.

Force unique : D3FEND établit des relations explicites entre artefacts (Digital Artifact Ontology) — par exemple, la technique offensive T1003.001 (LSASS Memory dump) se contre via Process Lineage Analysis, Credential Hardening (Credential Guard), Software Update, etc. Cela permet de répondre à "pour défendre contre cette technique ATT&CK, quelles contre-mesures puis-je déployer ?".

Usages : (1) gap analysis défensive — visualiser quelles techniques défensives sont implémentées vs lesquelles manquent ; (2) architecture review — justifier des investissements en sécurité avec un framework structuré ; (3) communication avec les business stakeholders en utilisant un vocabulaire commun ; (4) sélection d'outils (mapper les capabilities vendor sur D3FEND) ; (5) recherche académique en cybersécurité.

Moins adopté qu'ATT&CK (qui est devenu universel), D3FEND est en pleine croissance et particulièrement utile pour les architectes sécurité, les SOC managers planifiant leur roadmap, et les consultants en transformation cyber.