Что такое MITRE Shield
MITRE Shield — это общедоступная бесплатная база знаний о типичных методах и тактиках, которые применяют специалисты по ИБ для активной защиты и взаимодействия со злоумышленниками в целях изучения и защиты от них. MITRE Shield помогает экспертам ИБ предпринять активные действия для защиты своих сетей и активов (Active Defense). MITRE Shield («щит») использует подход активной защиты, схожий с фреймворком MITRE ATT&CK, который каталогизирует поведение злоумышленников и уже давно широко используется специалистами по ИБ.
По словам MITRE, Shield призван стимулировать дискуссию об активной защите: «Активная защита варьируется от базовых возможностей киберзащиты до киберобмана и операций по взаимодействию с противником. Комбинация этих подходов позволяет организациям не только противостоять текущим атакам, но также больше узнать об противнике и лучше подготовиться к новым атакам в будущем».
Скачайте технический отчет Illusive по MITRE Shield на русском языке, чтобы узнать детали того, как 27 техник Shield реализованы в платформе обмана и активной защиты Illusive. В отчете функционал Illusive сопоставлен с техниками MITRE Shield, а также приведено краткое описание того, как платформа Illusive позволяет использовать указанные техники.
Shield включает в себя список техник, которые защитник может использовать для реализации подхода активной защиты (или активной обороны) — заголовки столбцов в таблице. База знаний также описывает ряд тактик (индивидуальные ячейки), которые могут использоваться для защиты. Затем тактики сопоставляется с действиями, которые могут помочь в их достижении. База знаний также включает мэппинг между методами MITRE ATT&CK и Shield, чтобы проиллюстрировать, как защитные возможности отталкиваются от конкретных тактик, техник и процедур (TTP) злоумышленника.
Интересно, что MITRE уже более 10 лет использует методы активного взаимодействия со злоумышленниками для обеспечения безопасности своей корпоративной инфраструктуры, и эти действия и опыт работы MITRE легли в основу Shield. База знаний по активной защите Shield была создана MITRE в 2019 году в качестве внутреннего проекта и была публично выпущена в 2020 году. Актуальная версия MITRE Shield доступна по адресу https://shield.mitre.org/.
Скачайте матрицу MITRE Shield на русском языке в формате MS Word.
Как Illusive Networks помогает реализовать MITRE Shield и принципы активной защиты
Недавно MITRE опубликовала доклад под названием «Преимущество киберсреды: приглашаем злоумышленников в гости!» о том, как киберобман позволяет повысить киберустойчивость, явно указывая, что они поддерживают использование техник обмана в борьбе с киберугрозами.
В своем отчете MITRE отмечает: «Включение обмана в систему киберзащиты может быть использовано для обнаружения вредоносных действий, управления противниками, как только они окажутся внутри, и сбора сведений об их тактиках и методах. Стратегическое использование киберобмана и обмен данными киберразведки, полученными таким образом, могут повысить эффективность защиты и уровень устойчивости».
Как отмечается в «Щите», MITRE рассматривает функционал киберобмана как обязательный в современном стеке СЗИ для полноценной защиты и управления злоумышленниками. В новых тактиках и техниках «Щита» технологии обмана являются центральными во всех восьми категориях:
- Направление (Channel) — направление злоумышленника по определённому пути
- Сбор (Collection) — сбор информации о злоумышленнике
- Сдерживание (Contain) — ограничение возможности злоумышленника выходить за установленные для него рамки
- Обнаружение (Detect) — понимание того, что делает злоумышленник
- Прерывание (Disrupt) — предотвращение действий злоумышленника
- Помощь (Facilitate) — помощь злоумышленнику в выполнении его действий
- Легитимизация (Legitimize) — повышение реалистичности обманной среды с целью убеждения злоумышленника в ее реальности
- Тестирование (Test) — выявление интересов, возможностей и поведения злоумышленника
Категории содержат 33 оборонительные техники (иногда техника может находиться в нескольких категориях). Возможности технологии активной защиты Illusive распространяются на 27 из 33 техник.
Анализируя MITRE Shield, очевидно, что использование технологий обмана необходимо не только зрелым организациям, но и всем, кто заботится о безопасности и реализует принципы активной защиты, на самых ранних этапах построения системы Active Defense.
Как техники MITRE Shield реализованы в платформе Illusive
Скачайте технический отчет Illusive по MITRE Shield на русском языке, чтобы узнать детали того, как 27 техник Shield реализованы в платформе обмана и активной защиты Illusive. В отчете функционал Illusive сопоставлен с техниками MITRE Shield, а также приведено краткое описание того, как платформа Illusive позволяет использовать указанные техники.
В качестве пример, разберем технику DTE0004 — Многообразие приложений. С помощью использования модуля детекции атак Attack Detection System (ADS) Illusive предоставляет широкий спектр приложений и сервисов, таких как SWIFT, мейнфреймы, веб-приложения, Tomcat, Jenkins, IIS и др, в качестве приманки для защиты от вредоносной деятельности. Эти приложения могут быть усилены для проверки способностей противника, или, наоборот, могут быть легко взламываемы для того, чтобы заставить противника двигаться в нужном направлении, что реализует сценарий использования DUC0219. Кроме того, модуль анализа атак Attack Intelligence System (AIS) может использоваться для заманивания злоумышленников в обманную сеть, в которой установлены реальные приложения.
Вы можете скачать полный отчет по этой ссылке: Технический отчет по реализации MITRE Shield в платформе Illusive на русском языке.
