Latest news

MITRE D3FEND: cos’è e come aiuta le aziende nella difesa informatica

Ti è mai capitato di non sentirti del tutto al sicuro navigando nel web? Questa sensazione è comune a molti, ma quello che è necessario avere in questo caso è un metodo efficace per difendersi da eventuali minacce incombenti.   

Nel mondo della sicurezza informatica i criminali pronti ad attaccare sono sempre in agguato, ma sono pure molto esperti nel non farsi riconoscere e nel rimanere sempre nell’anonimato tra i meandri oscuri della rete. Tuttavia, la buona notizia è che Mitre ha rilasciato di recente il framework D3FEND, il quale presenta funzionalità complementari al framework ATT&CK. 

D3FEND mira a fare la promozione di un quadro standard in modo da consentire a tutte le persone di poterlo sfruttare per ottenere un significativo miglioramento in termini della difesa dalle minacce informatiche. In particolare, Mitre lo definisce un progetto di ricerca per creare uno standard delle misure che i professionisti della sicurezza informatica adottano, con l’obiettivo ultimo di proteggere l’ambiente IT. 

Ma facciamo un passo alla volta, prima di analizzare il framework D3FEND, andiamo a vedere che cosa sia il suo precursore, ovvero il framework  ATT&CK. 

mitre d3fend

Che cos’è MITRE ATT&CK? 

MITRE ATT&CK, un acronimo che sta per MITRE Adversarial Tactics, Techniques, and Common Knowledge, è un framework knowledge base usato per indicare il comportamento di attacco mediante la caccia alle minacce. Inoltre, fa l’elenco di tutto il ciclo dell’attacco, le fasi e il sistema operativo a cui c’è maggiore probabilità che facciano riferimento. Le conoscenze alquanto dettagliate nel framework sono in grado di aiutare a formare kill chain e anche modelli di minaccia informatica che rivibrino sul comportamento dei cybercriminali e sui TTP, ovvero tattiche, tecniche e procedure. 

Negli ultimi anni questo framework ha riscosso molto successo per quanto riguarda il suo utilizzo, specialmente per consentire di individuare quanti TTP una soluzione di cybersicurezza riesce a cogliere per essere ritenuta davvero efficiente. 

Che cos’è invece MITRE D3FEND?  

Finanziato dalla National Security Agency (NSA), questo framework è stato sviluppato con lo scopo di integrare il precedente framework, ATT&CK, presentando però alcune differenze con quest’ultimo. 

Infatti, se da un lato il framework ATT&CK mira a creare una linea comune del meccanismo offensivo per individuare e rispondere ai TTP, dall’altro invece il focus di D3FEND è quello di standardizzare il meccanismo di difesa.  

La matrice D3FEND ricopre un ruolo fondamentale in quanto aiuta gli esperti di cybersecurity a implementare contromisure di difesa ed è estremamente utile per il fatto che comprende contromisure proprio in tutte le fasi degli attacchi, consentendo dunque di prevenire, rimediare e mitigare. 

Ciò che accumuna entrambi i framework è la struttura, che resta a matrice ed è suddivisa in varie strategie di alto livello. Per quanto concerne il framework D3FEND, esso è costituito da 5 categorie che rappresentano le tecniche di difesa principali e con esattezza queste sono: 

  • Harden 
  • Detect 
  • Isolate 
  • Deceive 
  • Evict 

Andiamo a vederle più nel dettaglio una ad una! 

Harden 

Questa prima categoria include misure specifiche volte a diminuire l’area di attacco. Mira a limitare l’accesso semplice a tutto, introducendo credenziali, messaggi, un’applicazione apposita e rafforzando la piattaforma stessa. Inoltre, rivolge l’attenzione verso l’aggiornamento costante delle patch per ridurre il rischio di vulnerabilità. 

Detect 

La suddetta categoria di rilevamento essenzialmente si focalizza ad analizzare le minacce trovate grazie all’aiuto del framework MITRE ATT&CK. Dunque, qui troviamo colonne che comprendono varie analisi, tra le quali analisi del file, dell’identificatore, del messaggio, del traffico di rete, dei comportamenti degli utenti, di processo e il controllo della piattaforma. 

Isolate 

Come puoi dedurre dal nome, la categoria di isolamento si basa sull’isolamento di host che sono a rischio di diventare vulnerabili, oppure che sono già stati compromessi. Qui invece è possibile trovare 2 colonne, ovvero l’isolamento della rete e l’isolamento dell’esecuzione. 

Deceive  

L’obiettivo di tale categoria è quello di creare un’esca riguardante l’intero ambiente oppure oggetti come ad esempio risorse di rete, file, credenziali per riuscire ad ingannare un potenziale cyber criminale dall’ambiente e dagli oggetti reali facendolo arrivare a quelli falsi.  

Evict 

La categoria in questione, inerente alla rimozione, si concentra ad eliminare in maniera definitiva i componenti ritenuti vulnerabili o addirittura compromessi per rendere la difesa migliore. In aggiunta, le colonne che si trovano all’interno di questa categoria sono quelle che riguardano la rimozione dei processi e delle credenziali.

Come è possibile usare MITRE D3FEND in modo da avere una sicurezza migliore? 

Così come MITRE ATT&CK, anche MITRE D3FEND è stato progettato con lo scopo di definire le funzioni specifiche delle contromisure di difesa, quindi di consentire la creazione di un vocabolario standardizzato.           

Perciò, questa matrice fornisce un beneficio significativo alle aziende, aiutandole a comprendere le contromisure in modo dettagliato e tutto questo fa sì che vengano supportati sia i dirigenti di alto grado, i quali si occupano del confronto tra il costo e il rischio di un nuovo strumento di sicurezza IT, sia gli architetti della cybersecurity, i quali tentano di testare o creare set di strumenti strategici. 

Per giunta, se si confrontano le funzioni di una soluzione di sicurezza con la sua complementare tecnica offensiva, ovvero ATT&CK, le aziende hanno la possibilità di avere informazioni sulle loro prestazioni. 

mitre d3fend

Difendi la tua organizzazione con Nexsys 

Come abbiamo visto in questo articolo, risulta essere fondamentale selezionare la soluzione di sicurezza informatica che più si addice alle proprie esigenze e per questo motivo Nexsys ti propone il corso Cybersecurity Blue Team, in seguito al quale aumenterai le tue conoscenze e competenze circa la prevenzione e la difesa dalle minacce informatiche, oltre alle risposte ai possibili incidenti.  

In particolare, quest’ultima sezione ti prepara a difendere le organizzazioni e a rispondere agli attacchi informatici in maniera efficace e con un approccio strutturato! 

Se hai ulteriori dubbi o se desideri conoscere la vasta gamma dei corsi offerti non esitare a contattarci! 

Hai bisogno di maggiori informazioni?

I nostri esperti IT sapranno certamente aiutarti!

Teniamo alla tua privacy
Questo sito utilizza cookie tecnici e di profilazione. Cliccando su accetta si autorizzano tutti i cookie di profilazione. Cliccando su rifiuta o la X si rifiutano tutti i cookie di profilazione. Cliccando su personalizza è possibile selezionare quali cookie di profilazione attivare. Inoltre, questo sito installa Google Analytics nella versione 4 (GA4) con trasmissione di dati anonimi tramite proxy. Prestando il consenso, l'invio dei dati sarà effettuato in maniera anonima, tutelando così la tua privacy.