ThreatQuotient recomienda MITRE ATT&CK por sus ventajas frente a ciberataques
La compañía ThreatQuotient, líder en plataformas de operaciones de Ciberinteligencia, asegura que el marco ATT&CK (Tácticas, técnicas y conocimientos comunes del adversario) de MITRE ha sido clave en los últimos años para muchas organizaciones que combaten las ciberamenazas en su día a día. Gracias a este marco se accede base de conocimientos mundiales basada en observaciones de ciberataques en el mundo real sobre las tácticas y técnicas de los adversarios.
El objetivo del marco ATT&CK es crear una lista exhaustiva de los procedimientos conocidos que utilizan los adversarios durante un ciberataque. Está abierto a la administración, la educación y las empresas comerciales, permite recopilar una amplia gama de etapas y secuencias de ataque. El mapeo de los datos del framework, resumido como información sobre amenazas, es en última instancia una de las principales actividades que llevará a cabo un departamento de seguridad IT. Las organizaciones pueden utilizar los datos de inteligencia sobre amenazas de dos maneras: pueden ser consumidores o productores.
“Los consumidores utilizarán los datos ya creados para mejorar la toma de decisiones. Un consumidor suele empezar por reducir el panorama de las amenazas a grupos específicos de ciberdelincuentes. Esto permite a la organización entender qué es lo que está apuntando a sus datos, activos o recursos. Para reducir aún más el panorama de las amenazas, se investigarán los ataques anteriores a empresas similares y se identificarán los grupos sospechosos que podrían estar involucrados”, señala Eutimio Fernández, Country Manager de ThreatQuotient para Iberia.
Tras identificar a los asaltantes relevantes, el departamento de seguridad puede utilizar el conjunto de datos para ver las tácticas, técnicas y procedimientos (TTP) de estos grupos. El siguiente paso es establecer una lista priorizada de capacidades de detección y prevención que el equipo de operaciones de seguridad debe poner en marcha. Este proceso utiliza los datos ya creados por otros equipos de MITRE, y es muy recomendable para equipos más pequeños.
Aumentar los datos
Una recomendación para muchas organizaciones que utilizan el marco de MITRE es superponer la información sobre amenazas a los datos existentes. Esto permite obtener más información y compartir conocimientos en múltiples sectores y empresas.
Para conseguirlo, las organizaciones deben dar a los analistas el tiempo y la formación necesarios para analizar los informes de respuesta a incidentes disponibles (tanto cerrados como de código abierto, internos y externos) para extraer los datos correctos y cotejarlos con las métricas de ATT&CK. En la práctica, esto significa leer estos informes a fondo, destacando las herramientas, las técnicas, las tácticas y los nombres de los grupos, y extrayendo los datos para alimentar aún más la información que el equipo tiene sobre los presuntos atacantes.
Para ayudar a aumentar los datos, los responsables de MITRE están desarrollando una nueva herramienta Threat Report Attacks Mapper (TRAM), que ayuda a los analistas a automatizar parcialmente este proceso. La información adicional debería mejorar la toma de decisiones una vez que el análisis de las TTP de los atacantes haya pasado por el "filtro de contexto" de la organización.
Mapeo interno
Mientras que el uso de la matriz ATT&CK para el mapeo de la Inteligencia sobre Ciberamenazas se centra en las amenazas externas, el siguiente paso lógico es examinar las amenazas internas. En primer lugar, es necesario enumerar todas las técnicas con información sobre cómo los departamentos de seguridad las identifican, detectan y las contienen. Extraer esta información es una excelente manera de que los departamentos de seguridad comprendan mejor su propia capacidad de defensa y priorización. El primer paso en este proceso es la extracción programática de la información de la fuente de datos. Hay varias formas de hacerlo utilizando las APIs proporcionadas por MITRE u otras herramientas de código abierto en GitHub. Una vez completada, la comparación de las fuentes de datos a las que tienen acceso los expertos en seguridad y los grupos de usuarios se puede revelar importantes lagunas de cobertura y visibilidad. Por ejemplo, si la información sobre amenazas que han recopilado indica técnicas de piratería informática dirigidas a tareas programadas, es posible que un grupo concreto esté detrás de ellas. Los expertos en seguridad pueden entonces determinar si pueden detectar esta técnica. Las fuentes de datos enumeradas en la monitorización de archivos y procesos técnicos, los parámetros de la línea de comandos de los procesos y los registros de eventos de Windows proporcionan esta respuesta.
Cerrar las brechas de conocimiento
Si ninguna de estas fuentes de datos está disponible para el departamento de seguridad, o si solo están disponibles en un subconjunto de la red, ese es el primer problema que hay que solucionar. No importa si capturan estas nuevas fuentes de datos a través del registro integrado del sistema operativo o añadiendo nuevas herramientas de seguridad (monitorización de la red, detección y respuesta de la red [NDR], IDS/IPS basados en el host, detección y respuesta de los puntos finales [EDR], etc.). Simplemente es importante que se hayan identificado los datos más significativos que faltan. Si el valor y los beneficios de la recopilación de estos datos se pueden comunicar claramente a las partes interesadas, esto ayuda a justificar el esfuerzo adicional y los posibles costes asociados a la implementación de nuevas herramientas que faciliten la recopilación.
Aunque lograr la recopilación de las fuentes de datos necesarias ya es un hito importante, solo es el primer paso del proceso. Una vez recogidos los datos y enviados a un repositorio de amenazas, el siguiente paso es encontrar una herramienta de análisis adecuada. MITRE facilita este paso para muchas técnicas de hacking con su Repositorio de Análisis Cibernético (CAR) preconstruido e incluso proporciona opciones de análisis de código abierto como el proyecto BZAR, que incluye un conjunto de scripts de Zeek/Bro para detectar algunas técnicas de ATT&CK.
Disponer de los mejores recursos posibles
Con la información recopilada de las fuentes adecuadas, los departamentos de seguridad pueden identificar las prioridades de los grupos de ataque y las técnicas que pueden utilizarse contra su propia organización. También pueden complementar esta información con sus propios datos internos. Esto proporciona al departamento de seguridad el mejor conocimiento posible de las técnicas y tácticas que los atacantes tienen y pueden utilizar contra la organización.
Tras evaluar el nivel de amenaza, los expertos en seguridad pueden utilizar la información de la fuente de datos integrada para hacerse una idea de las posibles capacidades de defensa. En los casos en los que falte información clave, deben trabajar juntos para recopilar los datos y aplicar el análisis de estas técnicas. Herramientas como ATT&CK Navigator pueden facilitar la visualización de los requisitos. El código abierto y otros proveedores de aparatos y programas de seguridad pueden ayudar a acelerar el proceso de cotejo de los datos requeridos con los que recogen y ejecutan los análisis. El último paso es probar y revisar continuamente el marco ATT&CK de MITRE, enriquecido con la información de inteligencia sobre amenazas.