MITRE D3FEND Framework ist unterrepräsentiert in Unternehmen

SANS

Swansea, Wales, 21. Februar 2022 – Das SANS Institute, der weltweit führende Anbieter von Cybersecurity-Trainings und -Zertifizierungen, veröffentlicht eine Analyse zweier Cybersecurity Frameworks MITRE ATT&CK® und MITRE D3FENDTM in seinem SANS 2022 ATT&CK® and D3FENDTM Report. Er behandelt die Stärken der beiden Frameworks in Bezug auf die Unternehmenssicherheit und zeigt, wie sie eingesetzt werden können, um die Analyse und Reaktion auf Vorfälle zu verbessern. Schlussendlich folgt auch eine Untersuchung wie die beiden Frameworks in eine Bedrohungsanalyse einbezogen werden können.

Während das MITRE ATT&CK Framework relativ gut bekannt ist, ist das bei dem MITRE D3FEND Framework weniger der Fall. Es wurde von MITRE und der National Security Agency (NSA) entwickelt und soll dort anknüpfen, wo Verteidiger naturgemäß aufhören. D3FEND ist eine Sammlung von Gegenmaßnahmen, die ebenfalls nach Sicherheitszielen (wie „Harden“, „Detect“ oder „Isolate“) und dann nach Techniken und Untertechniken gegliedert sind. Der größte Teil der Gegenmaßnahmen ist im Bereich Detect zu verorten, was jedoch keine Priorität für die Verteidiger darstellt. Vielmehr ist D3FEND als perfekte Ergänzung zu ATT&CK konzipiert, die es den Verteidigern ermöglicht, das Wissen, das sie über eine gegnerische Technik erlangt haben, direkt auf relevante Gegenmaßnahmen zu übertragen.

Der Report beinhaltet die beiden Fallstudien:

  • Missbrauch von Fernzugriffsmechanismen durch Angreifer
  • Missbräuchliche Nutzung des DNS durch den Gegner

Studienautor und SANS-Instructor Matt Bromiley erklärt: „Mit den beiden Frameworks können Verteidiger leicht von einer Angriffstechnik ausgehen, wie unerlaubter Fernzugriff oder DNS-C2-Kommunikation. Beide erfordern eine tiefe Netzwerkinspektion, um sie zu erkennen, geschweige denn ausreichend aufzuzeichnen und zu analysieren. D3FEND hilft den Verteidigern effektive Erkennungs- und Gegenmaßnahmen zu ergreifen.“

Den kompletten Report können Sie hier einsehen: https://www.sans.org/white-papers/sans-2022-att-ck-and-d3fend-report-incorporating-frameworks-into-your-analysis-and-intelligence/

Der Webcast wartet zum Nachhören hier: https://www.sans.org/webcasts/sans-2022-att-ck-and-d3fend-report-incorporating-frameworks-into-your-analysis-and-intelligence/

Gesponsert wurde die Studie von Cisco Umbrella, Devo, Extrahop, Siemplify und Uptycs.

Über das SANS Institute

Das SANS Institute wurde 1989 als kooperative Forschungs- und Bildungsorganisation gegründet. SANS ist der vertrauenswürdigste und größte Anbieter von Cybersicherheitsschulungen und -zertifizierungen für Fachleute in staatlichen und kommerziellen Organisationen weltweit. Die renommierten SANS-Instructors unterrichten über 60 verschiedene Kurse im Klassenraum und virtuell während der Live-Schulungsveranstaltungen zur Cybersicherheit. Sie sind alle auch über die OnDemand-Plattform jederzeit verfügbar. GIAC, eine Tochtergesellschaft des SANS Institutes, bestätigt die Qualifikation mit mehr als 35 praktischen, technischen Zertifizierungen im Bereich der Cybersicherheit. Das SANS Technology Institute, eine regional akkreditierte, unabhängige Tochtergesellschaft, bietet Master-Abschlüsse im Bereich der Cybersicherheit an. SANSSecurity Awareness, eine Abteilung des SANS Institutes, bietet Organisationen eine vollständige und umfassende Lösung für Security Awareness, die es ihnen ermöglicht, ihr „menschliches“ Cyber-Sicherheitsrisiko einfach und effektiv zu verwalten. SANS stellt der InfoSec-Gemeinschaft eine Vielzahl kostenloser Ressourcen zur Verfügung, darunter Konsensprojekte, Forschungsberichte und Newsletter; außerdem betreibt es das Internet-Frühwarnsystem, das Internet-Sturmzentrum. Das Herzstück von SANS sind die vielen Sicherheitsexperten, die verschiedene globale Organisationen von Unternehmen bis hin zu Universitäten vertreten und gemeinsam daran arbeiten, der gesamten Informationssicherheitsgemeinschaft zu helfen: https://www.sans.org