Marco MITRE D3FEND: La guía definitiva

¿Qué es el marco D3FEND de MITRE?

MITRE es una organización sin ánimo de lucro respaldada por el gobierno que lleva a cabo investigaciones sobre ciberseguridad financiadas con fondos federales para apoyar la seguridad informática defensiva en todos los sectores, incluidas las agencias gubernamentales y los contratistas de defensa. MITRE D3FEND™ es una base de conocimientos -definida como un "gráfico de conocimientos" por MITRE- que sirve como biblioteca de contramedidas defensivas de ciberseguridad, componentes técnicos y sus asociaciones y capacidades. Es complementaria al marco MITRE ATT&CK® de Tácticas, Técnicas y Procedimientos (TTP) de los ciberdelincuentes.

El marco D3FEND de MITRE traza las relaciones entre la TTP del adversario de ATT&CK y las contramedidas defensivas para desarrollar una estrategia defensiva que se corresponda directamente con el comportamiento conocido del atacante. La creciente colección de Tácticas y Técnicas de D3FEND define los elementos técnicos específicos que hay que vigilar para neutralizar los ciberataques ofensivos. El marco D3FEND es relativamente nuevo; MITRE lanzó la versión beta en julio de 2021.

Matriz D3FEND de MITRE

Mientras que el marco ATT&CK de MITRE está ramificado en tres variantes principales conocidas como Matrices (Enterprise, Mobile e ICS), actualmente sólo existe una Matriz D3FEND de MITRE. La información sobre contramedidas de D3FEND está organizada de forma similar a la jerarquía de TTP del adversario de ATT&CK, pero desde una perspectiva defensiva. Las Tácticas son la clasificación de más alto nivel en la jerarquía D3FEND y corresponden a los objetivos específicos que los defensores deben alcanzar para contrarrestar fases específicas de un ciberataque. Cada táctica contiene múltiples técnicas y subtécnicas que describen métodos técnicos para lograr los objetivos tácticos defensivos asociados e incluyen referencias a normas, herramientas y patentes relevantes del sector de la seguridad informática. 

Tácticas y técnicas de más alto nivel de MITRE D3FEND

  • Harden
    • Endurecimiento de la aplicación
    • Refuerzo de credenciales
    • Endurecimiento de mensajes
    • Endurecimiento de la plataforma
  • Detectar
    • Análisis de expedientes
    • Análisis de identificadores
    • Análisis de mensajes
    • Análisis del tráfico de red
    • Supervisión de plataformas
    • Análisis de procesos
    • Análisis del comportamiento de los usuarios
  • Aislar
    • Aislamiento de la ejecución
    • Aislamiento de la red
  • Engañar
    • Entorno señuelo
    • Objeto señuelo
  • Desalojar 
    • Desalojo de credenciales
    • Proceso de desahucio
D3FEND también tiene un catálogo jerárquico único de información asociativa conocido como "Artefactos Digitales" que no se encuentra en ATT&CK. Los artefactos digitales representan conceptos y objetos digitales, y el catálogo tiene cuatro clases principales: Artefactos de primer nivel, Archivos, Tráfico de red y Software. Una parte de las TTP ofensivas de ATT&CK han sido mapeadas a Técnicas D3FEND usando Artefactos Digitales para su uso como referencia para identificar contramedidas relacionadas y viceversa. Estas asociaciones pueden buscarse y visualizarse en la Ontología de Artefactos Digitales. 

Cómo utilizar el marco D3FEND de MITRE

D3FEND valida un lenguaje común de ciberseguridad defensiva y una jerarquía de clasificación que pueden utilizarse entre las partes interesadas a la hora de desarrollar un programa de ciberseguridad desde cero o evaluar un programa cibernético existente, evaluar y comparar la postura de seguridad de los productos de los proveedores de software o de la nube, o informar sobre la adquisición y la inversión.

D3FEND tiene aplicaciones prácticas para organizaciones de todos los tamaños, desde PYMES hasta grandes empresas. Las tácticas y técnicas de D3FEND pueden servir como lista de comprobación para planificadores de seguridad, arquitectos y responsables de la toma de decisiones que planifican y diseñan defensas de red integradas y productos de software que, en última instancia, serán la barrera entre los adversarios y los activos digitales de la organización. 

Aunque el marco ATT&CK incluye algunos consejos limitados de mitigación, D3FEND proporciona una visión más formalizada y organizada de las contramedidas defensivas que mitigan y permiten una estrategia a largo plazo para vigilar, detectar y responder a los ciberataques.

PREGUNTAS FRECUENTES

¿Qué es MITRE D3FEND?

MITRE D3FEND es una base de conocimientos sobre contramedidas defensivas de ciberseguridad, sus componentes y capacidades. Complementa el marco ATT&CK de MITRE, que describe las Tácticas, Técnicas y Procedimientos (TTP) de los ciberdelincuentes. El marco D3FEND de MITRE traza las relaciones entre la TTP de los atacantes y las contramedidas defensivas, proporcionando un modelo de técnicas y artefactos defensivos para neutralizar o mitigar estrategias ofensivas específicas de ciberataque.ATT&CK son las siglas de Adversarial Tactics, Techniques, and Common Knowledge (Tácticas, técnicas y conocimientos comunes de los adversarios).

¿Qué significa MITRE D3FEND?

D3FEND son las siglas de Detection, Denial, and Disruption Framework Empowering Network Defense.

¿Por qué MITRE D3FEND hace referencia a patentes?

Las patentes de seguridad informática fueron el objetivo inicial de D3FEND. Dado que el sistema de patentes incentiva a los inventores y a las organizaciones a divulgar los detalles de las tecnologías novedosas y exige evaluaciones jurídicamente autorizadas, constituyen un caudal de información detallada sobre diseños de ingeniería y citas de conocimientos científicos previos.

BlackBerryEl conjunto de soluciones de ciberseguridad de MITRE Cylance consiguió evitar al 100% las emulaciones de los ataques Wizard Spider y Sandworm en una fase muy temprana de la evaluación ATT&CK 2022 de MITRE, antes de que se produjera ningún daño. 

BlackBerry's CylancePROTECT® y CylanceOPTICS® proporcionaron detecciones exhaustivas de técnicas de ataque individuales con un alto nivel de confianza, lo que ayudó a reducir el despilfarro de recursos dedicados a perseguir falsos positivos.