MITRE Shield mostra por que o engano é a próxima grande aposta da segurança

O MITRE recentemente adicionou ao seu portfólio e lançou o MITRE Shield, uma base de conhecimento de defesa ativa que captura e organiza as técnicas de segurança de forma complementar às atenuações apresentadas no MITRE ATT & CK.

A estrutura do MITRE Shield se concentra na defesa ativa e no envolvimento do adversário, o que tira a passividade da defesa da rede. MITRE define defesa ativa como variando de “capacidades básicas de defesa cibernética a operações de engano cibernético e de engajamento do adversário”, que “permitem que uma organização não apenas se oponha aos ataques atuais, mas também aprenda mais sobre aquele adversário e se prepare melhor para novos ataques no futuro. ”

Esta é a primeira vez que o engano foi referenciado de forma proativa em um framework do MITRE e, sim, é um grande negócio.

Como diz o ditado, a melhor defesa é um bom ataque. Os cibercriminosos continuam a desenvolver suas táticas e, como resultado, a segurança tradicional e as proteções de endpoint estão se mostrando insuficientes para se defender dos sofisticados invasores de hoje. As empresas não podem mais sentar e esperar que os firewalls ou o treinamento obrigatório de segurança sejam suficientes para proteger os sistemas e informações essenciais. Em vez disso, eles devem considerar as táticas de “defesa ativa” exigidas no Escudo MITRE para ajudar a nivelar o campo de jogo.

Por que engano?

A chave para a tecnologia de engano – e por que ela é tão relevante agora – é que ela vai além da simples detecção para identificar e prevenir movimentos laterais, notoriamente um dos aspectos mais difíceis da defesa de rede. Os últimos meses foram especialmente desafiadores para as equipes de segurança, com a pandemia e a mudança repentina para o trabalho remoto deixando muitas organizações mais vulneráveis ​​do que antes. Os cibercriminosos estão perfeitamente cientes disso e têm aproveitado a interrupção para lançar mais ataques.

Na verdade, o número de violações de dados em 2020 quase dobrou (em comparação com o ano anterior), com mais de 3.950 incidentes em agosto. Mas o que esse número não leva em conta são as violações que podem ainda não ser detectadas, nas quais os invasores obtiveram acesso à rede de uma empresa e estão realizando o reconhecimento semanas, ou potencialmente meses, antes de realmente lançar um ataque.

À medida que se movem por uma rede lateralmente, os cibercriminosos coletam furtivamente informações sobre uma empresa e seus ativos, permitindo-lhes desenvolver um plano para um ataque mais sofisticado e prejudicial ao longo da linha. É aqui que o engano e a defesa ativa convergem – ocultando ativos reais (servidores, aplicativos, roteadores, impressoras, controladores e muito mais) em uma multidão de impostores que se parecem e sentem exatamente como a coisa real. Em um ambiente enganoso, o invasor deve estar 100% certo, caso contrário, ele perderá tempo e esforço coletando dados ruins em troca de revelar sua habilidade ao defensor.

O engano existe em uma rede sombra. As armadilhas não afetam os ativos reais, tornando-a uma solução altamente valiosa até mesmo para os mais diversos ambientes, incluindo dispositivos de TI, OT e Internet das Coisas. E como as armadilhas não são visíveis para usuários ou sistemas legítimos e servem apenas para enganar os invasores, elas fornecem alertas de alta fidelidade e praticamente nenhum falso positivo.

Como as empresas podem adotar o MITRE Shield usando o engano?

O MITRE Shield atualmente contém 34 táticas baseadas em engano, todas mapeadas para uma das oito categorias de defesa ativa do MITRE: Canalizar, Coletar, Conter, Detectar, Interromper, Facilitar, Legitimar e Testar. Aproximadamente um terço das táticas sugeridas na estrutura estão relacionadas ao engano, que não só mostra o poder do engano como uma estratégia de defesa ativa, mas também fornece um roteiro para as empresas desenvolverem uma postura de engano própria.

Existem três níveis de ativos enganosos que as empresas devem considerar, dependendo do nível de perícia desejado:

1. Baixa interação , que consiste em ativos falsos simples projetados para desviar os cibercriminosos da realidade, usando seu tempo e recursos.

2. Interação média , que oferece maiores insights sobre as técnicas usadas pelos cibercriminosos, permitindo que as equipes de segurança identifiquem os invasores e respondam ao ataque.

3. Alta interação , que fornece o maior conhecimento sobre a atividade do invasor, aproveitando a interação estendida para coletar informações.

Embora uma empresa não precise usar todas as táticas baseadas em engano descritas no MITRE Shield para prevenir ataques, iscas de baixa interação são um bom lugar para começar e podem ser implantadas em questão de minutos. Daqui para frente, os CISOs devem considerar se é hora de repensar sua estratégia de segurança para incluir táticas de defesa mais ativas, incluindo fraude.

Fonte: https://www.helpnetsecurity.com/2020/09/30/mitre-shield-deception/