Attivo Networks Blogs

MITRE Shield and Active Defense

En el pasado mes de septiembre la organización sin fines de lucro MITRE y quien es familiar en el medio de la seguridad informática por el reconocido “ATT&CK” (tácticas, técnicas y conocimiento común de adversarios), la cual es una herramienta muy apreciada en la comunidad de inteligencia de ciberamenazas para modelar las mismas incluyendo las tácticas y técnicas empleadas por adversarios observadas en el mundo real, ha lanzado Shield.

Shield es una base de conocimientos en forma de matriz igualmente gratuita que captura las capacidades que rodean la Defensa Activa y el enfrentamiento con adversarios, dicho de manera simple que ayudará a los expertos en ciberseguridad y al “defensor” a tomar medidas proactivas para defender sus redes y activos.

Esta primera versión adopta un enfoque similar a lo que hace MITRE ATT&CK® para la ofensiva, aunque en este caso, presenta la información sobre los conceptos de defensa activa. Aprovecharlos juntos permite a las organizaciones crear una defensa activa para abordar mejor a los adversarios.

Desde la perspectiva de un defensor, la matriz ATT&CK proporciona un modelo de datos de cómo se debe proteger su empresa contra las amenazas de ciberseguridad. Mientras tanto, la matriz Shield proporciona las capacidades que un defensor debe desarrollar para una Defensa Activa y el hacer frente o “enganchar” al adversario en una situación posterior a la brecha; es decir durante la intrusión en desarrollo. Asuma que sus defensas serán evadidas y necesita mecanismos de defensa adecuados para detectarlos, retrasarlos, desviarlos y contenerlos lo más tempranamente posible.

La Matriz Shield

MITRE utiliza la definición de Defensa Activa del Departamento de Defensa de los Estados Unidos como “El empleo de acciones ofensivas limitadas y contraataques para negar un área o posición en disputa al enemigo“. La matriz Shield enumera las capacidades que ayudan a una empresa a cambiar el hecho, de hacer frente a un ataque de un juego a la defensiva a uno a la ofensiva. Estas capacidades van desde esquemas básicos de defensa cibernética hasta operaciones de engaño cibernético o “Cyber Deception” y del “engagement” del adversario.

El engaño cibernético o Cyber Deception ha sido reconocido durante mucho tiempo por su capacidad para crear una defensa activa, sin embargo Shield; abarca otras técnicas más allá de aquellas relacionadas con el concepto tradicional de “señuelos”.

MITRE Shield categoriza la base de conocimientos de las capacidades de Defensa Activa a través de una matriz de Tácticas (el objetivo que el defensor está tratando de lograr) y Técnicas (medios para lograr dicho objetivo) con la meta de construir las estrategias de Defensa Activa.

Cada técnica corresponde a una capacidad básica que una empresa podría utilizar para dicha estrategia. MITRE Shield clasifica estas técnicas en ocho tácticas diferentes etiquetadas de la siguiente manera:

  • Canalizar
  • Recopilar
  • Contener
  • Detectar
  • Interrumpir
  • Facilitar
  • Legitimar
  • Probar

Cambio de Paradigma del Defensor

MITRE Shield como guía de Defensa Activa basada en la participación del adversario y de las lecciones aprendidas, permite entender:

  • La manera de atacar de los adversarios
  • Las herramientas que estos usan
  • Qué hacen después de establecer “presencia” en la infraestructura de la entidad
  • Lo que buscan en última instancia

La matriz ayuda a contrarrestar los patrones de ataque conocidos, así como permite que los defensores conozcan a los adversarios que los atacan y para prepararse mejor para los ataques en el futuro. En total, Shield cubre 33 técnicas y 190 casos de uso tomados de la experiencia de MITRE para defender la red de los adversarios.

En lugar de simplemente detectar y erradicar a los atacantes de la red, Shield se centra en la defensa activa. La matriz señala que hay mucho que aprender de los atacantes y que involucrarlos activamente dentro de la red puede crear valiosas oportunidades de aprendizaje. Dado que la tecnología de engaño o Deception es una tecnología de defensa activa conocida por su eficacia para involucrar a los atacantes y generar inteligencia de adversario para los defensores, Shield dedica una cantidad considerable de tiempo y esfuerzo a tácticas y principios de engaño.

Read the full article on Info Security Mexico.

Share on:

Free Active Directory Assessment

Get Visibility Into Privilege And Service Account Exposure

For a limited time, Attivo Networks is providing free Active Directory Security Assessments to demonstrate how ADAssessor provides unprecedented and continuous visibility to AD vulnerabilities.

Try Our Endpoint Detection Net (EDN) for Free

FAST AND EASY

Free use offer of our Award-winning security solution to prevent attackers from lateral movement, credential theft, and privilege escalation, fast and easy.

ADSecure 90-Day Free Trial

GET PROTECTION AGAINST UNAUTHORIZED ACCESS TO ACTIVE DIRECTORY

  • Hide and deny access to AD objects
  • Get alerted on unauthorized queries
  • Attack details easily viewable in dashboard
  • Your data remains on-premise

RSS

Leave a Comment

Your email address will not be published.

nineteen + 13 =

Ready to find out what’s lurking in your network?

Scroll to Top