Estrutura MITRE D3FEND: O guia definitivo

O que é a estrutura MITRE D3FEND?

O MITRE é uma organização sem fins lucrativos apoiada pelo governo que realiza pesquisas de segurança cibernética financiadas pelo governo federal para apoiar a segurança defensiva de TI em todos os setores, incluindo agências governamentais e empreiteiras de defesa. O MITRE D3FEND™ é uma base de conhecimento - definida como um "gráfico de conhecimento" pelo MITRE - que serve como uma biblioteca de contramedidas defensivas de segurança cibernética, componentes técnicos e suas associações e capacidades. Ele é complementar à estrutura MITRE ATT&CK® de Táticas, Técnicas e Procedimentos (TTP) dos criminosos cibernéticos.

A estrutura MITRE D3FEND mapeia as relações entre o TTP do adversário da ATT&CK e as contramedidas defensivas para desenvolver uma estratégia defensiva que corresponda diretamente ao comportamento conhecido do atacante. A crescente coleção de táticas e técnicas da D3FEND define elementos técnicos específicos a serem monitorados para neutralizar ataques cibernéticos ofensivos. A estrutura D3FEND é relativamente nova; o MITRE lançou a versão beta em julho de 2021.

Matriz MITRE D3FEND

Embora a estrutura MITRE ATT&CK seja ramificada em três variantes principais conhecidas como Matrizes (Enterprise, Mobile e ICS), atualmente há apenas uma Matriz MITRE D3FEND. As informações de contramedidas da D3FEND são organizadas de forma semelhante à hierarquia de TTP do adversário da ATT&CK, mas em uma perspectiva defensiva. As táticas são a classificação de nível mais alto na hierarquia da D3FEND e correspondem às metas específicas que os defensores devem atingir para combater fases específicas de um ataque cibernético. Cada tática contém várias técnicas e subtécnicas que descrevem métodos técnicos para atingir as metas táticas defensivas associadas e incluem referências a padrões, ferramentas e patentes relevantes do setor de segurança de TI. 

Táticas e técnicas de mais alto nível do MITRE D3FEND

  • Endurecer
    • Endurecimento de aplicativos
    • Fortalecimento de credenciais
    • Endurecimento de mensagens
    • Fortalecimento da plataforma
  • Detectar
    • Análise de arquivos
    • Análise de identificadores
    • Análise de mensagens
    • Análise de tráfego de rede
    • Monitoramento da plataforma
    • Análise do processo
    • Análise do comportamento do usuário
  • Isolar
    • Isolamento da execução
    • Isolamento de rede
  • Enganar
    • Ambiente de isca
    • Objeto chamariz
  • Despejo 
    • Evicção de credenciais
    • Processo de despejo
A D3FEND também possui um catálogo hierárquico exclusivo de informações associativas conhecido como "Artefatos Digitais", não encontrado na ATT&CK. Os artefatos digitais representam conceitos e objetos digitais, e o catálogo tem quatro classes principais: Artefatos de alto nível, arquivos, tráfego de rede e software. Uma parte dos TTPs ofensivos da ATT&CK foi mapeada para as técnicas do D3FEND usando artefatos digitais para uso como referência para identificar contramedidas relacionadas e vice-versa. Essas associações podem ser pesquisadas e visualizadas na Ontologia de Artefatos Digitais

Como usar a estrutura MITRE D3FEND

O D3FEND valida uma linguagem comum de segurança cibernética defensiva e uma hierarquia de classificação que pode ser usada entre as partes interessadas ao desenvolver um programa de segurança cibernética desde o início ou ao avaliar um programa cibernético existente, ao avaliar e comparar a postura de segurança de produtos de fornecedores de software ou de nuvem, ou ao informar aquisições e investimentos.

A D3FEND tem aplicações práticas para organizações de todos os tamanhos, desde pequenas e médias empresas até grandes empresas. As táticas e técnicas da D3FEND podem servir como uma lista de verificação para planejadores de segurança, arquitetos e tomadores de decisão que planejam e projetam defesas de rede integradas e produtos de software que, em última análise, serão a barreira entre os adversários e os ativos digitais da organização. 

Embora a estrutura da ATT&CK inclua algumas recomendações limitadas de atenuação, a D3FEND oferece uma visão mais formalizada e organizada das contramedidas defensivas que atenuam e permitem uma estratégia de longo prazo para monitorar, detectar e responder a ataques cibernéticos.

PERGUNTAS FREQUENTES

O que é o MITRE D3FEND?

O MITRE D3FEND é uma base de conhecimento de contramedidas defensivas de segurança cibernética, seus componentes e capacidades. Ela complementa a estrutura MITRE ATT&CK que descreve as Táticas, Técnicas e Procedimentos (TTP) dos criminosos cibernéticos. A estrutura MITRE D3FEND mapeia as relações entre o TTP do invasor e as contramedidas defensivas, fornecendo um modelo de técnicas e artefatos defensivos para neutralizar ou atenuar estratégias específicas de ataque cibernético ofensivo. ATT&CK significa Adversarial Tactics, Techniques, and Common Knowledge (Táticas, Técnicas e Conhecimento Comum dos Adversários).

O que significa MITRE D3FEND?

D3FEND é a sigla para Detection, Denial, and Disruption Framework Empowering Network Defense (Estrutura de detecção, negação e interrupção que fortalece a defesa da rede).

Por que o MITRE D3FEND faz referência a patentes?

As patentes de segurança de TI foram o foco inicial da D3FEND. Como o sistema de patentes incentiva os inventores e as organizações a divulgarem os detalhes de novas tecnologias e exige avaliações com autoridade legal, elas são uma riqueza de informações detalhadas sobre projetos de engenharia e citações de conhecimento científico anterior.

BlackBerry Segurança cibernética comprovadamente 100% eficaz nas emulações do MITRE ATT&CK

BlackBerryO conjunto de soluções de segurança cibernética Cylance da MITRE foi 100% bem-sucedido na prevenção das emulações de ataque Wizard Spider e Sandworm logo no início da avaliação de 2022 da MITRE ATT&CK - antes que ocorresse qualquer dano. 

BlackBerry's CylancePROTECT® e CylanceOPTICS® forneceram detecções abrangentes sobre técnicas de ataque individuais com alta confiança, ajudando a reduzir o desperdício de recursos gastos na busca de falsos positivos.

Saiba mais

Recursos relacionados:

Ícone de recurso Prevenção contra perda de dados (DLP) Ícone de recurso Segurança de endpoint Ícone de recurso Plataformas de proteção de endpoints (EPP) Ícone de recurso Detecção e resposta de endpoint (EDR) Ícone de recurso Detecção e resposta estendidas (XDR) Ícone de recurso Gerenciamento de identidade e acesso (IAM) Ícone de recurso Detecção e resposta gerenciadas Ícone de recurso XDR gerenciado Ícone de recurso Estrutura MITRE ATT&CK Ícone de recurso Defesa contra ameaças móveis (MTD) Ícone de recurso Análise de comportamento de usuários e entidades (UEBA) Ícone de recurso Arquitetura Zero Trust Ícone de recurso Acesso à rede de confiança zero (ZTNA) Ícone de recurso Segurança Zero Trust Ícone de recurso Gerenciamento de eventos e informações de segurança (SIEM) Ícone de recurso Serviço de acesso seguro na borda (SASE)
Mais recursos