• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Статья ОБЗОР МАТРИЦЫ MITRE DEF3ND

Доброго времени суток.

В прошлой статье я рассматривал MITRE ATT&CK, которая показывает техники, используемые злоумышленниками при атаке.
Летом 2021 года корпорация MITRE представила свету новую матрицу. Это не обновленная версия ATT&CK, а матрица .

def3nd.png


Матрица DEF3ND предназначена для помощи в работе DevSecOps и сисадминам для защиты периметра. DEF3ND еще в разработке, но уже представляет интерес. Она описывает техники, которые кажутся само собой разумеющимися, но все же присутствуют не везде. Матрица ни в коем случае не панацея, это рекомендации по противодействию киберугрозам. Следовать им или нет остается на ваше усмотрение в зависимости от требований компании.

Матрица разделена на следующие разделы:
def3nd_razdely.png


Harden - описывает практики для укрепления периметра. Рекомендации, которые стоит реализовать в любом случае. Хорошо подойдет в качестве подсказки системным администраторам и DevSecOps для выстраивания SDLC. Это и многофакторная аутентификация и чистка кода от лишних комментариев.

Detect - анализ и обнаружение аномалий в поведении пользователей. Рекомендации, которые можно уже применять при реализации AntiFraud-системы. Для продвинутых команд, у которых развиты Blue Team и DevSecOps. Но и людям, которые просто хотят поднять уровень безопасности тоже подойдет.

Isolate - изоляция процессов. Два направления - Decoy Isolation и Network Isolation. Первая о изоляции приложений, вторая о изоляции сети. Описывают что делать для минимизации риска. Прежде чем внедрять, стоит эти риски оценить, чтобы не делать лишней работы и не пропустить чего-то важного.

Deceive - техники для Honeypot.

Evict - описывает что делать с уже ненужными учетками и процессами. Как говорится, “Выселение - не ответ. Выселение - это вопрос. А ответ - да”.

По структуре матрица похожа на ATT&CK. Разделы поделены на техники, в каждой технике есть определение, описание работы и предложение как с этим бороться.

def3nd_harden.png


def3nd_dead.png


Для каждой техники представлена информация о найденной уязвимости в References и ссылка на статью. Своеобразный PoC.

Кроме матрицы представлен список артефактов

def3nd_art1.png


def3nd_art2.png


Каждый артефакт можно просмотреть подробнее для лучшего использования в дальнейшем. Артефакты включают в себя подробное описание и "Parent Classes". Parent Classes можно использовать, чтобы быстро найти связанные понятия и артефакты. Это помогает и в структурировании.

def3nd_art3.png


DEF3ND и ATT&CK взаимосвязаны и техники обеих матриц можно просматривать в быстром доступе.

def3nd_lookup.png


Кроме того во вкладке resources, располагается Changelog и полезные ресурсы. Такие, как например ”DEF3ND Technique Tree”.

На этом все.
Стоит учитывать, что матрица еще в бета тестировании, следовательно информации немного, да и перевода нет, только Google Переводчик в помощь и опыт. Наполнением матрицы может заниматься любой, не забывайте об этом. Несмотря на маленькое количество техник в сравнении с ATT&CK, из нее уже можно почерпнуть много практик, которые помогут в обеспечении безопасности периметра.
 
Последнее редактирование модератором:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!