MITRE lança estrutura de defesa ativa chamada ‘Shield’

A MITRE Corp. lançou um novo guia de catalogação de medidas que as organizações podem tomar para se envolver ativamente e combater os intrusos em suas redes.

Assim como a estrutura ATT & CK amplamente usada do MITRE, que oferece uma lista abrangente de comportamentos de invasores, o novo Shield financiado pelo governo federal americano é uma base de conhecimento publicamente disponível, desta vez de táticas e técnicas para defesa proativa.

O foco principal é informar os profissionais de segurança sobre o envolvimento do adversário – ou interagir com intrusos cibernéticos e descobrir como montar uma defesa mais ativa contra eles, diz Bill Hill, CISO do MITRE.

“Quando as defesas não interativas, como patching, firewalls, IDSs, etc., falham ou são completamente contornadas, o que podemos aprender e como podemos melhorar?” ele diz. Engajamento com adversário é “aprender sobre como nossos adversários nos atacam, quais ferramentas eles usam, o que farão depois de estabelecerem acesso em nossos sistemas, talvez até o que querem de nós”.

A nova estrutura Shield do MITRE apresenta informações em formato de matriz, de maneira semelhante à ATT & CK . A matriz consiste em oito colunas, cada uma listando diferentes táticas – como detectar, interromper, conter e coletar – que os profissionais de segurança podem usar para se defender contra intrusos na rede. Os dados com hiperlink nas linhas ou em cada uma das células descrevem as técnicas reais que os defensores podem usar para implementar cada uma dessas táticas.

Por exemplo, as técnicas listadas nas células individuais na coluna “detectar” incluem monitoramento de API, análise comportamental, manipulação de e-mail e a criação de contas, redes e credenciais falsas(engano/deception). Da mesma forma, as técnicas recomendadas do MITRE para conter um adversário incluem sistemas de analise de comportamento, isolamento de sistemas e hardware e manipulação de software. Ao clicar em cada uma das células, os profissionais de segurança podem obter mais informações sobre cada técnica, incluindo os casos de uso para elas.

Uma novidade do Mitre Shield é a defesa ativa que identifica as oportunidades de aprendizagem que os defensores têm de ao envolver com intrusos na rede. “Acreditamos que as ações do adversário não apresentam apenas desafios, mas também oportunidades para o defensor.”, diz Hill. “Consideramos essas oportunidades como momentos em que o defensor pode tomar medidas defensivas ‘ativas’ para mudar o jogo.”

Por exemplo, ao criar uma conta-isca, uma organização pode induzir um adversário a realizar alguma ação que revele informações sobre suas táticas e ferramentas. Da mesma forma, semeando um sistema de destino com credenciais falsas – como nomes de usuário, senhas e tokens de navegador falsos – os defensores podem receber alertas quando um adversário acessa um recurso específico ou usa uma técnica específica, de acordo com o MITRE.

MITRE mapeou o comportamento adversário pós-comprometimento contido em sua estrutura ATT & CK para as técnicas defensivas relevantes do Shield. Então, clicando no comportamento de um adversário específico na ATT & CK , os defensores podem rapidamente puxar a tática e técnica recomendadas pelo MITRE para lidar com aquele comportamento específico.

“Considere as técnicas do Shield como blocos de construção de defesa ativa”, diz Christina Fowler, estrategista-chefe de inteligência cibernética do MITRE. Alguns deles são básicos e acessíveis, enquanto outros são mais sofisticados. “Cada bloco de construção pode ser usado sozinho ou adicionado a outros blocos de construção para alcançar algo mais elaborado. Os defensores podem começar com o básico e ir tão longe quanto seus desejos e recursos os levarem.”

Fowler diz que a criação da estrutura Shield foi motivada pela experiência positiva do MITRE usando técnicas de defesa ativa nos últimos 10 anos. “Pensando que nada funciona com os praticantes como os detalhes aprendidos com a experiência”, diz Fowler, “criamos o Shield para ver se podemos realmente iniciar uma conversa sobre o benefício da defesa ativa.”

Fonte: https://www.darkreading.com/attacks-breaches/mitre-releases-shield-active-defense-framework-/d/d-id/1338741
Imagem: http://mitre.org