9 jun. 2019

MITRE ATT&CK, herramientas y recursos

MITRE es una corporación no gubernamental fundada en 1958 cuya misión es intentar resolver problemas que contribuyan a un mundo más seguro, por lo que en esta oportunidad analizaremos su framework MITRE ATT&CK (por sus siglas en inglés, Tácticas, Técnicas y Conocimiento Común de Adversarios), una plataforma que organiza y categoriza los distintos tipos de ataques, amenazas y procedimientos realizados por los distintos atacantes en el mundo digital y que permite identificar vulnerabilidades en los sistemas informáticos.


Toda la información que van recopilando (en tiempo real) sobre los distintos ataques son volcados en distintas matrices, como son las orientadas a empresas , dispositivos móviles o técnicas de preataques. Situados en la página principal, la primera matriz que vemos es la empresarial, en donde podemos encontrar las siguientes categorías (o tácticas):
  1. ACCESO INICIAL
  2. EJECUCIÓN
  3. PERSISTENCIA
  4. ESCALADO DE PRIVILEGIOS
  5. EVASION DE DEFENSAS
  6. ACCESO A CREDENCIALES
  7. IDENTIFICACIÓN
  8. MOVIMIENTO LATERAL
  9. RECOLECCIÓN
  10. CAMANDO Y CONTROL
  11. EXFILTRACIÓN
  12. IMPACTO
    A su vez, cada una de estas categorías está dividida en subcategorías (o Técnicas) específicas para cada tipo de ataque, dentro de las cuales es posible encontrar detalles acerca de la técnica, ejemplos, referencias (que plataformas puede atacar, fechas en las cuales fue detectada o utilizada, etc.) y sugerencias para la mitigación y detección de la amenaza.

    A modo de ejemplo, dentro de "Initial Access" (Acceso Inicial) se encuentra Spearphishing Link. Aquí encontraremos la explicación de qué significa este método de acceso inicial, el cual consiste en la utilización de técnicas de ingeniería social dirigidas -generalmente por email- a fin de captar una potencial victima con un mensaje engañoso, ya sea a través de un servicio que utiliza, una oferta atractiva o una amenaza particular. Pero además, lo interesante de la plataforma de MITRE es que se pueden observar para esta sección 18 casos diferentes (esto evoluciona en el tiempo, ya que constantemente se pueden incorporar nuevos reportes), con su respectiva explicación, como así también las recomendaciones de cómo mitigar estos ataques y que técnicas de detección son necesarias para evitarlos.

    Si se elige una muestra en particular, encontraremos la descripción de la misma, quién fue el usuario que la agrego a la plataforma, a qué grupos se la puede asociar, y la lista de técnicas realizadas por este tipo de ataque.

    Como se puede observar, esta plataforma cubre toda la información necesaria para analizar todas las etapas de un ataque informático, desde el reconocimiento del objetivo, armado del ataque, métodos de entrega, explotación de vulnerabilidades, instalación del ataque, para finalmente tener el control y persistencia sobre el objetivo.

    Al igual que otras herramientas, este tipo de repositorios no fomenta ni busca ayudar a los cibercriminales; por el contrario, son de gran utilidad para los equipos de respuesta ante incidentes, investigadores, o profesionales de la seguridad de la información para poder cumplir con la premisa de mantenerse constantemente actualizados y atentos a nuevas técnicas de ataque, y por ende prevención de los mismos.

    Desde el punto de vista meramente empresarial, es de mucha utilidad para crear un mapa del sistema de defensa de la compañía. Si bien se describen principalmente los compartimientos de los atacantes, las empresas, y en este punto los encargados de planificar los mecanismos de seguridad, pueden planificar teniendo en cuenta los escenarios posibles y capacitar a todo el personal involucrado en los casos que sea necesario.

    ATT&CK puede ser útil también para la inteligencia sobre amenazas informáticas, ya que permite describir los comportamientos adversos de forma estándar. Se puede realizar un seguimiento de los actores al asociarlos con las técnicas y tácticas de ATT&CK por las que son conocidos. Esto brinda una guía a los defensores para aplicar en contra de sus controles operacionales, a fin de identificar dónde radican las debilidades ante algunos actores y dónde están las fortalezas. Crear entradas del navegador de MITRE ATT&CK para actores específicos es una buena manera de visualizar las fortalezas y las debilidades del ambiente en contra de esos actores o grupos. ATT&CK también está disponible como una fuente STIX y TAXII 2.0, lo que facilita su ingreso en herramientas compatibles con esas tecnologías.

    ATT&CK proporciona detalles sobre una gran cantidad de actores y grupos, incluidas las técnicas y herramientas por las que son conocidas de acuerdo a los informes disponibles de código abierto.

    Además, existen herramientas que proporcionan mecanismos para probar este tipo de técnicas en entornos controlados y que ya están alineadas con ATT&CK. Ejemplo de esto son, por ejemplo, dentro de las compañías Verodin, SafeBreach y AttackIQ, que proporcionan la habilidad de llevar a cabo una simulación. Existen algunas opciones de código abierto tales como MITRE Caldera, Uber Metta, Red Team Automation (RTA) de Endgame o Atomic Red Team de Red Canary, por nombrar algunas, que permiten realizar simulaciones adversas y que también están alineadas con ATT&CK . Como siempre, hay que tener extremo cuidado al realizar este tipo de simulaciones en redes de producción en donde no se conoce por completo el alcance de las posibles ramificaciones. Se recomienda siempre trabajar en entornos controlados y lo más separado de redes con equipos en producción con datos reales de la empresa.

    Por último, mencionar que dentro de las herramientas y recursos que se encuentran disponibles en la plataforma está el navegador de la matriz, el cual, ya sea en línea o descargándolo para un uso más estable y duradero, puede ser utilizado para categorizar las pruebas realizadas sobre los sistemas internos y los resultados que fueron dando o cuales faltan realizar, dándole prioridad por colores, entre otras herramientas posibles.
    Para resumir, se encuentra en MITRE ATT&CK, junto a sus herramientas, recursos adicionales para complementar cualquier estrategia de seguridad ante tanto vector de ataque que surge día a día.

    Fuente: We Live Security

    0 comentarios:

    Publicar un comentario

    Gracias por dejar un comentario en Segu-Info
    Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

    Gracias por comentar!