0
0
O papel que essas tecnologias desempenham na matriz MITRE Shield é um indicador claro de que elas são uma parte essencial do cenário de segurança atual.
É uma pergunta antiga: como você sabe se precisa de mais segurança? A MITRE tem trabalhado diligentemente para documentar táticas e técnicas para avaliar a prontidão de segurança e responder a esta pergunta muito desafiadora. No final de agosto, a MITRE, uma organização sem fins lucrativos, lançou uma nova matriz de conhecimento,chamada MITRE Shield, para complementar a matriz ATT&CK.
A organização chamou de “uma base ativa de conhecimento de defesa que a MITRE está desenvolvendo para capturar e organizar o que estamos aprendendo sobre defesa ativa e engajamento adversário”. Com seu foco em medidas ativas de defesa, a MITRE projetou o Shield para ajudar os defensores a entender suas opções de segurança cibernética e tomar medidas proativas para defender seus ativos. Entre as técnicas de defesa ativas mais comuns estão as tecnologias de cyber-decepção e ocultação, que são fortemente apresentadas na nova matriz Shield.
O que é o ESCUDO MITRE, exatamente?
Em sua essência, o MITRE Shield é uma base de conhecimento livremente disponível contendo informações sobre técnicas e táticas comuns que ajuda os defensores a entender melhor os adversários que enfrentam para proteger suas redes. Mais especificamente, é um guia para criar uma Defesa Ativa baseada no engajamento adversário e lições sobre:
- Como os adversários nos atacam
- Que ferramentas eles usam
- O que eles fazem depois de estabelecer uma cabeça de praia
- O que eles estão buscando
Como a conhecida matriz ATT&CK da organização, shield é apresentado em um formato tabular, com oito táticas e uma ampla gama de técnicas mapeadas em casos de uso mais específicos. A matriz ajuda a combater padrões de ataque conhecidos e ajudam os defensores a aprender sobre os adversários que os visam para melhor se preparar para ataques no futuro. No total, shield abrange 33 técnicas e 190 casos de uso informados por mais de 10 anos do trabalho da MITRE defendendo sua rede de adversários.
Em vez de simplesmente detectar e remover atacantes da rede, shield se concentra na defesa ativa. A matriz aponta que há muito a aprender com os atacantes, e que engajá-los ativamente dentro da rede pode criar oportunidades valiosas de aprendizado. Como a tecnologia de decepção é uma tecnologia de defesa ativa conhecida por sua eficácia em engajar atacantes e gerar inteligência adversária para os defensores, Shield gasta uma quantidade considerável de tempo e esforço em táticas e princípios de engano.
Alinhando tecnologia de decepção e ocultação com escudo
As tecnologias de decepção e ocultação distinguem-se de outras medidas ativas de defesa, na medida em que vão além do uso de técnicas de isca para alcançar a prevenção e detecção de ataques. A decepção desvia proativamente os atacantes de seus alvos usando iscas e outras informações falsas, guiando-os para iscas e, finalmente, para um ambiente de engano que pode isolá-los com segurança e coletar inteligência adversária. A ocultação, por outro lado, executa a tarefa complementar de ocultar objetos reais para que um invasor não possa sequer ver os dados, muito menos excluí-los, alterá-los ou adulterá-los.
Estes se alinham bem com as táticas específicas descritas dentro da matriz MITRE Shield. O Shield quebra essas táticas em oito baldes: Canal, Coleta, Contenção, Detecte, Disrupt, Facilite, Legitimize e Teste, e dentro de cada uma dessas categorias, existem maneiras específicas de se utilizar a tecnologia de engano:
- Canal: A decepção pode canalizar os adversários para longe de sistemas importantes e para sistemas de isca, desperdiçando tempo e recursos do adversário, descarrilando o ataque e elevando seu custo.
- Coletar: Os defensores podem usar técnicas enganosas para estudar o atacante em ação, reunindo informações sobre seus comportamentos e táticas.
- Conter: Ao se envolver com um ambiente de engano, as atividades do invasor permanecem contidas dentro dos limites específicos do ambiente e longe dos ativos de produção.
- Detectar: Ao contrário das defesas do perímetro, a tecnologia de engano detecta intrusos dentro da rede, capturando táticas, técnicas e procedimentos adversários (TTPs) tanto no ponto final quanto na isca.
- Disrupt: Alimentar conteúdo enganoso aos atacantes interromperá sua capacidade de alcançar seus objetivos, sejam eles qual for.
- Facilitar: A decepção ajuda a facilitar o ataque em certas linhas, levando os atacantes a acreditar que eles realizaram uma parte de sua missão criando um sistema de isca “vulnerável” para o atacante atingir.
- Legitimar: A decepção faz os atacantes acreditarem que as iscas, iscas e desorientações são reais. Adicionar autenticidade a componentes enganosos é um elemento essencial de serem alvos atraentes.
- Teste: Engajar-se com atacantes significa testá-los para determinar seus interesses, capacidades e comportamentos para impedir ataques atuais e futuros.
Das 33 técnicas de defesa abordadas nessas oito categorias táticas, a tecnologia de engano e ocultação pode implementar 27 delas, enquanto a decepção sozinha cobre cerca de 10. Essa diferença ressalta a importância da tecnologia de ocultação — não apenas enganar intrusos, mas negar-lhes acesso aos dados e ativos que buscam. Termos como redes de isca, personas chamariz, sistemas de isca, contas de isca, credenciais de isca, e outros apresentam destaque em toda a matriz MITRE Shield, novamente destacando o papel vital que as tecnologias de engano e ocultação desempenham na identificação e parada dos cibercriminosos atuais.
A matriz destaca vários casos específicos de uso para a tecnologia, observando que, ao criar uma conta chamariz, os defensores podem atrair os adversários a interagir com essa conta de uma forma que revele informações sobre suas táticas, objetivos e até mesmo as ferramentas que estão usando. Da mesma forma, semear um sistema de destino potencialmente de alto valor com credenciais de isca, como nomes de usuário falsos, senhas e tokens, pode permitir que os defensores essencialmente deitem-se à espera dos atacantes. Eles estão prontos para receber um alerta quando um intruso tenta acessar um recurso específico ou usar um conjunto de credenciais falsas. Ao colocar isca em toda a rede, os defensores podem se envolver ativamente com os atacantes de maneiras novas e significativas.
Decepção e ocultação não são mais “agradáveis de ter” — Eles são essenciais
O papel proeminente que as tecnologias de decepção e ocultação desempenham na matriz MITRE Shield é o indicador mais claro ainda de que essas tecnologias são uma parte essencial do cenário de segurança atual. Os defensores que buscam reforçar suas proteções na rede e melhorar sua capacidade de reunir informações adversárias valiosas devem examinar como sua abordagem atual para a segurança se alinha ou não está alinhada com a matriz Shield. Embora o valor da decepção e ocultação seja bem conhecido pelos profissionais de segurança, a decisão da MITRE de destacar tantas técnicas específicas e casos de uso para a tecnologia ressalta o papel central que desempenha no mundo da segurança atual e o valor agregado que ela pode fornecer a qualquer pilha de segurança abrangente.
FONTE: DARK READING