22 abr. 2019

Framework ATT&CK para equipos Red Team

Acerca de ATT&CK

ATT&CK desarrollado por MITRE es una base de conocimiento de acceso global de las tácticas y técnicas del adversario basada en observaciones del mundo real. La base de conocimientos ATT&CK es usada como base para el desarrollo de modelos de amenazas específicos y metodologías en el sector privado, gobierno y en la comunidad de productos y servicios de ciberseguridad. Con la creación de ATT&CK, MITRE está cumpliendo su misión para resolver problemas por un mundo más seguro -al reunir comunidades para el desarrollo más efectivo de la ciberseguridad. ATT&CK está abierto y disponible a cualquier persona u organización para su uso sin cargo.

Porque fue creado ATT&CK

ATT&CK significa Tácticas, Técnicas del Adversario y  Conocimiento Común (Adversarial Tactics, Techniques, and Common Knowledge). MITRE inició este proyecto en 2013 para documentar las tácticas, técnicas comunes y procedimientos (tactics, techniques, and procedures, TTPs) que las amenazas persistentes avanzadas usan contra las redes Windows empresariales. ATT&CK fue creado por la necesidad de documentar los comportamientos del adversario para usarlo en en un proyecto de investigación en MITRE denominado FMX. El objetivo de FMX era investigar el uso de los datos y análisis de la telemetría del terminal para mejorar la detección post-compromiso de los adversarios operando dentro de las redes de las empresas. Mucho de aquel trabajo está documentado aquí: Hallazgos de Amenazas basados en Análisis ATT&CK y el Repositorio de Ciber-Análisis

En base a nuestra investigación, decidimos que necesitábamos un marco de trabajo para abordar cuatro temas principales:
  1. Comportamientos del adversario. Enfocarnos en las tácticas y técnicas del adversario nos permitió desarrollar el análisis para detectar posibles comportamientos de adversario. Indicadores típicos tales como dominios, direcciones IP, hashes de archivos, claves de registro, etc. fueron cambiados fácilmente por adversarios y solo fueron útiles para la detección en un momento determinado de tiempo -esos indicadores no representan como interactúan los adversarios con los sistemas, solo que probablemente interactuaron en algún momento.
  2. Modelos de ciclo de vida que no encajaban. Los conceptos existentes de ciclo de vida del adversario y Cyber Kill Chain eran de muy alto nivel para relacionar los comportamientos con las defensas: el nivel de abstracción no era útil para asignar las TTPs a nuevos tipos de sensores.
  3. Aplicabilidad a entornos reales. Los TTP deben basarse en incidentes observados para mostrar que el trabajo es aplicable a entornos reales.
  4. Taxonomía común. Los TTP deben ser comparables entre los diferentes tipos de grupos adversarios utilizando la misma terminología.
Creemos firmemente que la ofensiva es el mejor impulsor para la defensa. La capacidad de una organización para detectar y detener una intrusión mejora en gran medida al mantener sólidos equipos sólidos ofensivos y defensivos que trabajan juntos. Dentro de FMX, ATT & CK era el marco utilizado para construir escenarios de emulación de adversarios. El equipo de emulación utilizó estos escenarios para inyectar actividades inspiradas en el mundo real dentro de la red. Luego, el equipo usó las pruebas para verificar que los sensores y los análisis estaban funcionando para detectar el comportamiento del adversario dentro de una red de producción. El enfoque dio como resultado una rápida mejora en la capacidad de detección y, lo que es más importante, de manera medible y repetible.

ATT&CK se convirtió en la herramienta de acceso tanto para el equipo de emulación del adversario para planificar eventos como para que el equipo de detección verifique su progreso. Este fue un proceso tan útil para el programa de investigación de MITRE que consideramos que debería publicarse para beneficiar a toda la comunidad, por lo que MITRE lanzó ATT & CK al público en mayo de 2015. Desde entonces, ATT&CK se ha expandido significativamente para incorporar técnicas utilizadas contra macOS y Linux, comportamientos usados por adversarios contra dispositivos móviles, y estrategias de adversarios para planificar y realizar operaciones de pre-explotación.

¿Qué es ATT&CK?

ATT&CK es principalmente una base de conocimiento de técnicas de adversario, un desglose y clasificación de acciones de orientación ofensiva que se pueden usar contra plataformas particulares, tales como Windows. A diferencia del trabajo previo en esta área, el enfoque no está en las herramientas y el malware que usan los adversarios, sino en cómo interactúan con los sistemas durante una operación.
ATT&CK organiza estas técnicas en un conjunto de tácticas para ayudar a explicar el contexto de la técnica. Cada técnica incluye información que es relevante para el equipo rojo o de pruebas de penetración para comprender la naturaleza de cómo funciona una técnica y también para el defensor para comprender el contexto que rodea los eventos o artefactos generados por una técnica en uso.
Las tácticas representan el "por qué" de una técnica ATT&CK. La táctica es el objetivo táctico del adversario para realizar una acción. Las tácticas sirven como categorías contextuales útiles para técnicas individuales y cubren notaciones estándar de nivel superior para cosas que hacen los adversarios durante una operación, como persistir, descubrir información, moverse lateralmente, ejecutar archivos y exfiltrar datos.

Las técnicas representan "cómo" un adversario logra un objetivo táctico al realizar una acción. Por ejemplo, un adversario puede volcar credenciales para obtener acceso a credenciales útiles dentro de una red que se pueden usar más adelante para el movimiento lateral. Las técnicas también pueden representar "lo que" gana un adversario al realizar una acción. Esta es una distinción útil para la táctica de descubrimiento, ya que las técnicas resaltan tras qué tipo de información está adversario con una acción en particular. Puede haber muchas maneras, o técnicas, para lograr objetivos tácticos, por lo que hay múltiples técnicas en cada categoría táctica.

La Matriz ATT&CK™

La relación entre tácticas y técnicas se puede visualizar en la matriz ATT&CK. Por ejemplo, bajo la táctica Persistencia (este es el objetivo del adversario: persistir en el entorno objetivo), hay una serie de técnicas que incluyen AppInit DLL, Nuevo servicio y Tarea programada. Cada uno de estos es una técnica única que los adversarios pueden usar para conseguir el objetivo de la persistencia.

La matriz ATT&CK para empresas

La Matriz ATT&CK es probablemente el aspecto más ampliamente reconocible de ATT&CK porque se usa comúnmente para mostrar elementos como la cobertura defensiva de un entorno, las capacidades de detección en productos de seguridad y los resultados de un incidente o un compromiso conseguido por el equipo rojo.

Inteligencia de amenaza cibernética

Otro aspecto importante de ATT&CK es cómo integra la inteligencia de amenazas cibernéticas (CTI). A diferencia de las formas anteriores de resumir las CTI que se utilizaron principalmente para indicadores, ATT&CK documenta los perfiles de comportamiento de los grupos adversarios, como el APT29, basado en informes públicos disponibles para mostrar qué grupos usan qué técnicas.

Por lo general, los informes individuales se usan para documentar un incidente o grupo en particular, pero esto hace que sea difícil comparar lo que sucedió en los incidentes o grupos y llegar a una conclusión sobre qué tipos de defensas fueron las más efectivas. Con ATT&CK, los analistas pueden ver grupos de actividades enfocándose en la técnica en sí. Al decidir cómo enfocar los recursos defensivos, los analistas podrían comenzar con las técnicas que tienen el mayor uso de grupo.

Ejemplos de cómo los adversarios particulares usan las técnicas, están documentados en su página de ATT&CK, que representa el procedimiento de ese grupo para usar la técnica. El procedimiento es un caso particular de uso y puede ser muy útil para comprender exactamente cómo se utiliza la técnica y para la reproducción de un incidente con la emulación del adversario y para detalles específicos sobre cómo detectar ese caso en uso.

Donde está ATT&CK hoy

ATT&CK se ha expandido significativamente en los últimos cinco años, desde Windows a otras plataformas y tecnologías. Está en uso por diferentes organizaciones gubernamentales y sectores de la industria, incluidos los sectores financiero, sanitario, minorista y tecnológico. La adopción y el uso públicos han generado importantes contribuciones a ATT&CK para mantenerlo actualizado y útil para la comunidad. Queremos continuar con esta tendencia, por lo que MITRE tiene grandes planes para seguir haciendo crecer ATT&CK para asegurar su futuro como un recurso público valioso.

Continuando esta serie

Ahora que hemos cubierto algunos de los conceptos básicos, uno puede esperar que futuras publicaciones de blog que brinden más detalles sobre los temas tratados en esta publicación. Discutiremos el uso de ATT&CK con inteligencia de amenazas cibernéticas, análisis de detección basados en el comportamiento y emulación de adversarios, así como áreas adicionales.

Traducción: Raúl Batista de la redacción de Segu-Info
Fuente: Mitre

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!