Zum Inhalt springen

Services, Wiki-Artikel, Blog-Beiträge und Glossar-Einträge durchsuchen

↑↓NavigierenEnterÖffnenESCSchließen
Defensive Security Glossar

MITRE D3FEND

MITRE D3FEND ist das Gegenstueck zu ATT&CK aus Verteidiger-Perspektive: ein strukturiertes Wissensmodell für defensive Cybersecurity-Techniken wie Härtung, Erkennung, Isolierung und Täuschung - mit direktem Mapping zu ATT&CK-Angriffstechniken.

MITRE D3FEND (Detection, Denial, and Disruption Framework Empowering Network Defense) ist ein NSA-gefoerdertes Wissensmodell das defensive Cybersecurity-Techniken systematisch katalogisiert - analog zu wie MITRE ATT&CK Angriffstechniken katalogisiert.

D3FEND vs. ATT&CK: Komplementaere Frameworks

Während ATT&CK dokumentiert wie Angreifer vorgehen (TTPs), dokumentiert D3FEND wie Verteidiger reagieren können:

  • MITRE ATT&CK: Angreifer-Perspektive - Taktiken, Techniken, Sub-Techniken
  • MITRE D3FEND: Verteidiger-Perspektive - defensive Techniken mit Wirksamkeit gegen ATT&CK-Techniken

Das Kernversprechen: Für jede ATT&CK-Technik gibt es in D3FEND eine oder mehrere Gegenmaßnahmen mit explizitem Mapping.

D3FEND Defensive Taktiken

  1. HARDEN (Härtung) - Angriffsoberfläche reduzieren, bevor ein Angriff stattfindet

    • Application Hardening (Removing Unused Components)
    • Credential Hardening (Multi-factor Authentication)
    • Message Hardening (Email Header Analysis)
    • Network Traffic Filtering (Inbound Session Volume Analysis)

  2. DETECT (Erkennung) - Angriffe wachend erkennen, bevor sie Schaden anrichten

    • File Analysis (Dynamic Analysis, Emulation)
    • Network Traffic Analysis (Protocol Anomaly Detection)
    • Platform Monitoring (System Call Analysis)
    • User Behavior Analysis (Authentication Event Thresholding)

  3. ISOLATE (Isolierung) - Schadensbegrenzung durch Trennung angegriffener Systeme

    • Network Isolation (Broadcast Domain Isolation)
    • Execution Isolation (Sandbox)
    • Credential Isolation (Certificate-based Authentication)

  4. DECEIVE (Täuschung) - Angreifer in die Irre führen und aufhalten

    • Decoy Environment (Honeypot, Honeynet)
    • Decoy Content (Honey Credentials, Canary Tokens)
    • Decoy System (Decoy Network Resource)

  5. EVICT (Entfernung) - Angreifer aus dem System entfernen, nachdem sie eingedrungen sind

    • Credential Eviction (Account Locking)
    • Process Eviction (Process Termination)
    • Execution Eviction (Driver Load Integrity Checking)

D3FEND in der Praxis: Gap-Analyse

D3FEND ermöglicht eine strukturierte Gap-Analyse der eigenen Abwehrfähigkeiten:

Beispiel: ATT&CK T1566.001 (Spearphishing Attachment) → D3FEND Gegenmaßnahmen:

  • M1049: Antivirus/Antimalware (DETECT: File Analysis)
  • M1031: Email Content Filtering (HARDEN: Message Filtering)
  • M1017: User Training (HARDEN: User Education)
  • M1021: Restrict Web-Based Content (ISOLATE: Web Content Filtering)
  • D3-DAM: Dynamic Analysis → Sandbox-Analyse von Anlagen

Fragen für die Gap-Analyse:

  • Haben wir E-Mail-Attachment-Sandboxing? (DETECT)
  • Haben wir DKIM/DMARC/SPF für ausgehende Mails? (HARDEN)
  • Haben wir User-Awareness-Training? (HARDEN)
  • Haben wir EDR mit behavioral detection? (DETECT + EVICT)

D3FEND Ontologie

Ein wichtiges Merkmal von D3FEND ist seine maschinenlesbare Ontologie (OWL/RDF-Format) - sie ermöglicht Automatisierung:

  • Automatisches Mapping: Welche Controls decken welche ATT&CK-Techniken ab?
  • Coverage-Reports: Wie viele Techniken sind abgedeckt vs. blind spots?
  • Tool-Integration: SIEM-Hersteller können ihre Rules direkt mit D3FEND taggen

D3FEND ist frei verfügbar auf mit interaktivem Knowledge Graph, Technik-Suche und ATT&CK-Mapping-Tool.

AWARE7 Leistungen zum Thema

Security Beratung Penetrationstest

Ausführlicher Wiki-Artikel

Endpoint Security: EDR, EPP und ganzheitlicher Geräteschutz

12 min Lesezeit

Lateral Movement: Erkennung und Verteidigung im Unternehmensnetzwerk

Verwandte Begriffe

Blue Team Defense in Depth - Tiefenverteidigung MITRE ATT&CK Threat Hunting
Zurück zum Glossar Erstberatung vereinbaren

Cookielose Analyse via Matomo (selbst gehostet, kein Tracking-Cookie). Datenschutzerklärung