Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security..
Ideias, informações e conhecimentos compartilhados pela equipe
de Investigação, Desenvolvimento e Inovação da BASE4 Security.
retornar
POR:
Federico Pacheco
(Gerente Global de P&D)
COMPARTILHAR
MITRE Engage: A melhor defesa é uma boa ofensa
Na defesa cibernética tradicional, o atacante só precisa acertar uma vez para vencer, mas com novas abordagens defensivas, o atacante só precisa acertar uma vez para perder. O MITRE Engage é uma estrutura para ajudar a planejar e discutir as chamadas "operações de engajamento adversário" para abordar esta nova abordagem de segurança cibernética defensiva. Vamos ver do que se trata.
Os ciberataqueiros parecem ter vantagens sobre os defensores - eles podem escolher a hora, o lugar e a técnica, enquanto os defensores devem repelir cada ataque à medida que ele ocorre. Para isso, a segurança cibernética moderna depende da defesa ativa, o que representa um novo paradigma de proteção, que vai desde as capacidades básicas de defesa até as operações de engano e engajamento adversário. Isto permite que as organizações contrariem os ataques atuais e aprendam sobre o ataque a fim de estarem mais bem preparadas para o futuro. Nas palavras de um velho adágio: a melhor defesa é um bom ataque. E é disso que se trata o MITRE Engage
A proteção nas organizações foi historicamente baseada no conceito de defesa em profundidade para impedir o acesso do adversário a sistemas e ativos críticos, de modo que quando o atacante ganha acesso a um sistema ou informação, ele ganha. Uma abordagem defensiva mais moderna envolve a introdução de dispositivos e sistemas enganosos, que produzem ambigüidade para o atacante. Assim, o objetivo é aumentar o custo operacional do ataque, em uma tentativa de dissuadir a contraparte. Isto dá origem à negação cibernética, que se refere à capacidade de expor, prevenir ou prejudicar a capacidade do oponente, e pode resultar na limitação de seus movimentos e esforços de coleta, ou de sua eficácia. O engano cibernético, por outro lado, revela intencionalmente fatos fictícios para confundir o adversário, assim como esconde fatores críticos para impedi-lo de fazer estimativas corretas. Quando usadas juntas, as duas idéias fornecem a base para o que é chamado de Adversary Engagement no contexto de planejamento e análise estratégica.
Uma operação de engajamento bem sucedida contra o adversário contém quatro elementos: narrativa, ambiente, monitoramento e análise. A narrativa é a história que se pretende retratar, o ambiente é o conjunto de sistemas de engajamento, o monitoramento é o sistema de coleta para observar o movimento e a análise são as ações para converter os resultados da operação em inteligência acionável. Estas operações proporcionam oportunidades para o defensor demonstrar ferramentas, testar hipóteses e melhorar seus modelos de ameaça.
O MITRE Engage estabelece um processo de 10 etapas para ajudar a considerar atividades realizáveis, que por sua vez são organizadas em 3 fases: Preparar, Operar e Entender. A primeira fase define o objetivo operacional, a segunda fase implementa e implementa as atividades projetadas, e a terceira fase procura usar os resultados para produzir inteligência. O núcleo da estratégia de interação é baseado na Matriz de Engajamento, que é uma referência para discutir e planejar as atividades acima mencionadas, aplicando o processo teórico de 10 etapas às operações reais. Nesta matriz, a operação é dividida em 3 etapas: expor, afetar e obter. Além disso, o Engage está ligado a cada técnica da estrutura do MITRE ATT&CK para examinar as fraquezas reveladas.
Abordado em um ciclo contínuo, Engage propõe 4 partes: coleta de dados brutos, análise dos dados em relação às informações conhecidas, identificação de oportunidades de engajamento e implementação de ações. Finalmente, a estrutura propõe uma linguagem comum para uma referência precisa, como é de se esperar em um contexto altamente técnico.
A versão V1 do MITRE Engage , que lançou sua versão beta na DefCon Packet Hacking Village em agosto de 2021, foi lançada em 28 de fevereiro e desde então tem recebido feedback de toda a comunidade cibernética de segurança. Tanto que atrasaram o lançamento formal a fim de incluir tal entrada. Com esta nova iniciativa, a organização MITRE continua a produzir estruturas de alta qualidade que se tornam benchmarks da indústria de fato e geram conversas entre profissionais que alimentam a comunidade da cibersegurança.