MITRE ATT&CK® und MITRE D3FENDTM

MITRE D3FEND Framework wird in Unternehmen kaum eingesetzt

, Swansea, SANS | Autor: Herbert Wieler

MITRE D3FEND Framework wird in Unternehmen kaum eingesetzt

SANS veröffentlicht 2022 ATT&CK® and D3FENDTM Report

Das SANS Institute, der weltweit führende Anbieter von Cyber Security-Trainings und -Zertifizierungen, veröffentlicht eine Analyse der Cybersecurity Frameworks MITRE ATT&CK® und MITRE D3FENDTM in seinem SANS 2022 ATT&CK® and D3FENDTM Report . Er behandelt die Stärken der beiden Frameworks in Bezug auf die Unternehmenssicherheit und zeigt, wie sie eingesetzt werden können, um die Analyse und Reaktion auf Vorfälle zu verbessern. Schlussendlich folgt auch eine Untersuchung wie die beiden Frameworks in eine Bedrohungsanalyse einbezogen werden können.

Matt Bromiley, Studienautor und SANS-Instructor

Während das MITRE ATT&CK Framework gut bekannt ist, ist das bei dem MITRE D3FEND Framework weniger der Fall. Es wurde von MITRE und der National Security Agency (NSA) entwickelt und soll dort anknüpfen, wo Verteidiger naturgemäß aufhören. D3FEND ist eine Sammlung von Gegenmaßnahmen, die ebenfalls nach Sicherheitszielen (wie „Harden“, „Detect“ oder „Isolate“) und dann nach Techniken und Untertechniken gegliedert sind. Der größte Teil der Gegenmaßnahmen ist im Bereich Detect zu verorten, was jedoch keine Priorität für die Verteidiger darstellt. Vielmehr ist D3FEND als perfekte Ergänzung zu ATT&CK konzipiert, die es den Verteidigern ermöglicht, das Wissen, das sie über eine gegnerische Technik erlangt haben, direkt auf relevante Gegenmaßnahmen zu übertragen.

Der Report beinhaltet die beiden Fallstudien:

  • Missbrauch von Fernzugriffsmechanismen durch Angreifer
  • Missbräuchliche Nutzung des DNS durch den Gegner

Studienautor und SANS-Instructor Matt Bromiley erklärt: „Mit den beiden Frameworks können Verteidiger leicht von einer Angriffstechnik ausgehen, wie unerlaubter Fernzugriff oder DNS-C2-Kommunikation. Beide erfordern eine tiefe Netzwerkinspektion, um sie zu erkennen, geschweige denn ausreichend aufzuzeichnen und zu analysieren. D3FEND hilft den Verteidigern effektive Erkennungs- und Gegenmaßnahmen zu ergreifen.“

Gesponsert wurde die Studie von Cisco Umbrella, Devo, Extrahop, Siemplify und Uptycs.