La presentación de Shield por parte de MITRE a finales del año pasado ha recibido una amplia atención por parte del sector. Denominado cariñosamente como el «primo menor» del renombrado esquema MITRE ATT&CK, Shield es una base de conocimientos de ciberdefensa activa desde la perspectiva del que defiende. Como uno de los primeros en adoptar ATT&CK, Hillstone Networks ha prestado mucha atención al desarrollo de MITRE Shield.
En la Conferencia RSA 2021, el Dr. William Hill, Chief Information Security Official (CISO) de MITRE y el Dr. Stanley Barr, Senior Principal Deception Researcher, hicieron una presentación titulada » Manual de iniciación: empiece con MITRE Shield». A continuación se presentan las ideas obtenidas en la sesión, así como las reflexiones sobre cómo Shield puede beneficiar al personal de TI y su misión de defender la red.
Una diferencia de perspectiva
MITRE ATT&CK es una base de conocimientos, continuamente actualizada desde 2013, que muestra los elementos tácticos, técnicos, subtécnicos, de procedimiento y otros que intervienen en el despliegue de un ataque desde la perspectiva de un atacante. Tras varias mejoras y actualizaciones importantes, la última base de conocimientos de ATT&CK incluye matrices de sistemas de control empresariales, móviles e industriales.
A diferencia de la perspectiva del adversario de ATT&CK, la base de conocimientos de MITRE Shield adopta la perspectiva del defensor, comenzando con tácticas y técnicas de defensa en una matriz similar a la de ATT&CK. Actualmente, Shield incluye ocho tácticas defensivas que los defensores pueden utilizar para lograr sus objetivos. Estas amplias categorías «paraguas» incluyen canalizar, recoger, contener, detectar, interrumpir, facilitar, legitimar y probar.
Bajo el paraguas de las tácticas hay 34 técnicas de defensa que definen y perfeccionan aún más los métodos implicados en el objetivo del defensor. Toda la matriz de Shield incluye las tecnologías básicas necesarias para la defensa activa, incluyendo la ciberdefensa general, el ciberengaño y la participación del adversario. Shield no sólo ayuda a los defensores a responder mejor a los ataques actuales, sino que también ayuda a los equipos de seguridad a conocer mejor a los atacantes y a prepararse para nuevos ataques en el futuro.
Figura: Diagrama de la matriz de MITRE Shield
Los mas recientes avances en MITRE Shield
En la RSA 2021, el Dr. Barr presentó ideas para mejorar Shield, incluyendo la optimización de las metodologías de defensa, la mejora de las capacidades de recopilación y detección de datos, la mejora de la planificación y el análisis de la defensa, y la mejora de las técnicas de defensa como el bloqueo, la orientación y la interferencia. Además, el Dr. Stanley habló sobre algunas de las recomendaciones realizadas por la comunidad de seguridad desde el lanzamiento de Shield que se tendrán en cuenta en la próxima versión.
Hillstone Networks está comprometido con la tecnología de defensa activa MITRE Shield
Debido a que MITRE ATT&CK es ampliamente utilizado por los proveedores de seguridad para medir la madurez y detectar lagunas en las capacidades de seguridad, MITRE Shield proporciona una sección de mapeo a ATT&CK. Cada técnica ATT&CK enumera la información de defensa activa aplicable. Por ejemplo, en la tabla de mapeo de relaciones de ataque y defensa (muestra parcial mostrada abajo), podemos ver las técnicas de ataque para una técnica ATT&CK (por ejemplo, T1589) y las técnicas de defensa de Shield (DTE0010 y DTE0015).
Obsérvese que hay otras dos columnas en el mapa, Espacio de oportunidad y Caso de uso. La columna Espacio de Oportunidad describe las posibilidades de alto nivel para detectar la técnica de ataque, mientras que el Caso de Uso es una descripción del escenario específico de uso de la defensa que el personal de seguridad puede utilizar para aprovechar el Espacio de Oportunidad.
Figura: Mapa de relaciones de MITRE ATT&CK y Shield
Al describir varias tecnologías de defensa en el contexto de las tácticas, técnicas y procedimientos (TTPs) de ATT&CK, Shield puede ayudar a acelerar el proceso de creación de capacidades de defensa activa. Vale la pena mencionar que estas técnicas de defensa se derivan de múltiples años de experiencia de la participación del Equipo Rojo y del Equipo Azul. El conocimiento tiene un fuerte significado práctico para que los equipos de TI planifiquen e implementen una estrategia de defensa activa.
Durante muchos años, Hillstone Networks ha adoptado estrategias de defensa activa en productos de seguridad tales como honeypots en sistemas de detección de brechas y técnicas de engaño de baja interacción. Con la continua adición y mejora de la base de conocimientos Shield de MITRE, creemos que este esquema de conocimientos proporcionará una guía sistemática, de alto nivel y procesable a los equipos de defensa de la seguridad de la red empresarial.