La filosofía de ATT&CK explicada
Ahora han publicado el documento técnico de filosofía de ATT&CK [PDF] para que sirva como recurso autorizado que describa el diseño y la filosofía detrás de ATT&CK porque es importante para ser transparentes sobre cómo se toman esas decisiones.
El documento técnico detalla la historia más allá de ATT&CK, así como algunos puntos de como cómo desglosar los elementos de ATT&CK y lo que significan varios términos. A menudo recibimos preguntas sobre qué datos usamos, de dónde provienen y cómo tomamos decisiones (más allá de las actualizaciones que enviamos), por lo que me complace que también cubramos esos aspectos en el documento. Tenemos la intención de que este sea un documento vivo, por lo que a medida que cambiemos, planeamos actualizarlo en consecuencia.
No todas las amenazas (potenciales) son iguales
ATT&CK se desarrolló con un caso de uso de manejo en mente: la mejor detección del comportamiento del ciber-adversario posterior al compromiso. Se lanzó el documento que describe gran parte de ese trabajo el año pasado, y es importante tener en cuenta este objetivo original para comprender el proceso que hemos desarrollado para actualizar ATT&CK. Aunque nuestro proceso tiene matices, lo impulsa un concepto central: uno puede priorizar cómo se defiende al enfocarse en el comportamiento documentado de amenazas.Las amenazas persistentes (a veces denominadas amenazas persistentes avanzadas o APT) se nombran como tales porque tienen un objetivo que cumplir, e intentarán alcanzar ese objetivo varias veces y de muchas maneras diferentes cuando encuentren interrupciones en sus operaciones. Las amenazas persistentes pueden tomar muchas formas, desde actividades patrocinadas por el estado-nación interesadas en espionaje o robo de propiedad intelectual, hasta delincuentes con motivos financieros que se infiltran en instituciones financieras. Los actores de este espectro pueden usar técnicas muy similares entre sí.
El rango de posibles técnicas que los adversarios pueden usar es enorme. Uno puede ver lo que sucedió en el pasado, lo que está sucediendo ahora y lo que podría suceder en función de la investigación académica, los catálogos de vulnerabilidad o simplemente cualquier idea que alguien tenga en un día determinado. Es una gran variedad de cosas de las que preocuparse para cualquier organización, y es una tarea difícil lidiar con la complejidad de la tecnología mientras se equilibra el impacto de las decisiones de seguridad con la usabilidad. Reducir eso y enfocarse en actividades de amenazas empíricamente documentadas que ocurren en entornos abiertos es una forma útil de priorizar qué abordar primero, y eso sirve como la influencia central que impulsa los tipos de información dentro de ATT&CK.
Fuentes de información
Hemos utilizado varias fuentes diferentes de información sobre amenazas para documentar las técnicas ATT&CK, que incluyen:- Informes de inteligencia de amenazas
- Presentaciones de conferencia
- Seminarios web
- Medios de comunicación social
- Blogs
- Abrir repositorios de código fuente
- Muestras de malware
¿Qué pasa con los equipos rojos y la investigación de nuevas técnicas?
Desafortunadamente, la información sobre amenazas disponible públicamente a menudo no es suficiente para tener una idea completa de lo que están haciendo los adversarios. Lo que se ve y se informa se basa en qué datos están disponibles en ese momento, quién los vio y que tan sensible es la información, lo que lleva a casos en los que la información sobre el comportamiento adversario no está disponible públicamente. Esto presenta un desafío para nosotros porque queremos mantener ATT&CK actualizado sobre las últimas Tácticas, Técnicas y Procedimientos (TTP) que los defensores deben conocer. Dada esta realidad, utilizamos varios métodos para tratar de aproximar lo que los adversarios están haciendo en la naturaleza.- Eventos no reportados: no se informa todo lo que sucede. Las restricciones de información y la sensibilidad de los datos son una limitación real. Si una fuente creíble dice que una técnica está en uso libremente y hay suficiente información técnica disponible sobre cómo podría usarse, entonces es probable que haya evidencia suficiente sin tener un informe disponible públicamente para hacer referencia.
- Equipos rojos: a menudo son impulsados por objetivos similares a las amenazas persistentes: ingresan sin ser detectados y logran un objetivo. A veces, las técnicas que usan los equipos rojos coinciden con lo que sucede en Internet, y otras no. Si varios equipos rojos usan con éxito ciertos tipos de técnicas a las que muchos de sus clientes son vulnerables, entonces es probable que un adversario del mundo real en algún momento termine usándolo también.
- Investigación de nuevas técnicas: se está publicando una gran cantidad de trabajo excelente que saca a la luz nuevos métodos para subvertir las medidas de seguridad. A veces, estas técnicas son detectadas rápidamente por las amenazas del mundo real, y otras veces se descubren nuevamente cuando se analizan datos antiguos con nuevos detalles, por lo que es importante que consideremos las técnicas recientemente descubiertas con cierto nivel de discreción según la probabilidad de que ser (o haber sido) usado.
Factores de decisión técnica
A veces tiene sentido agregar nuevas técnicas cuando recibimos una contribución o encontramos nuevos informes, pero otras veces podríamos volver a analizar o agregar detalles a una técnica existente, pero relacionada, para incluir la nueva información. Consideramos varios factores cuando incluimos nueva información para determinar dónde y cómo encaja en el modelo y la base de conocimiento:- Objetivo: ¿Qué está logrando la técnica? Se pueden realizar técnicas similares de la misma manera para lograr diferentes tácticas. Del mismo modo, diferentes técnicas pueden lograr la misma táctica de diferentes maneras.
- Acciones: ¿Cómo se realiza la técnica? ¿Es el "disparador" diferente entre las técnicas que los distinguen a pesar de que el resultado puede ser el mismo o similar?
- Uso: ¿Quién lo está usando? ¿Varios grupos usan la técnica? Si es así, ¿cómo es el uso diferente o similar?
- Requisitos: ¿Cuáles son los componentes necesarios para usar una técnica y qué se ve afectado por su uso? (Por ejemplo, archivos, ubicaciones, cambios en el registro, llamadas a la API, permisos, etc.) ¿Cuál es la superposición de componentes entre técnicas? ¿Son distintos o similares?
- Detección: ¿Qué se necesita instrumentar para detectar el uso de la técnica? Esto está relacionado con los requisitos y las acciones, pero podría diferir según las técnicas relacionadas.
- Mitigaciones: ¿Qué opciones de mitigación están disponibles para la técnica? ¿Son similares o diferentes a otras técnicas que se realizan de la misma manera o tienen el mismo resultado?
Ayuda para continuar
Conservar el contenido en ATT&CK a veces puede ser más un arte que una ciencia, y esperamos que esta publicación de blog y el documento lo ayuden a comprender nuestro pensamiento. Sí, hay excepciones al proceso, que tratamos de documentar a medida que avanzamos y también utilizamos para cambiar la forma en que pensamos sobre el contenido futuro.Aplicamos un proceso para evaluar la relevancia de la nueva información que nos lleva a veces a no incorporar algunos elementos de información; necesitamos mantenernos enfocados en los principios centrales que hacen que ATT&CK sea útil. A lo largo de los años, hemos recibido muchas contribuciones que no cumplían con los criterios que establecimos para ATT&CK, a pesar de que muchos tenían justificaciones buenas y bien razonadas de por qué debería incluirse. Independientemente de si incluimos contribuciones, apreciamos la disposición continua de la comunidad para ayudar. El proceso ha evolucionado a lo largo de los años y continuará evolucionando para satisfacer las necesidades de quienes usan y valoran ATT&CK.
Mantener ATT&CK también es mucho trabajo. Solo la de Empresa tiene hasta 219 técnicas y 69 grupos con un sorprendente 968 referencias. Esperamos que la comunidad brinde información valiosa, tanto en contenido como en proceso, para ayudar a mantenerla actualizada y relevante. Si tiene información que cree que debería incluirse, comuníquese con nosotros en [email protected] o en Twitter @MITREattack.
También continuaremos esta serie para hablar sobre algunas aplicaciones adicionales de ATT&CK y futuras mejoras.
Traducción: Raúl Batista de la redacción de Segu-Info
Autor: Blake Strom
Fuente: MITRE
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!