30 oct. 2019

Comenzar a usar ATT&CK [II]

Nivel 2

Si tiene un equipo de analistas de amenazas que revisan regularmente información sobre adversarios, una acción que se puede tomar es asignar la inteligencia a ATT&CK por sí mismo en lugar de usar lo que otros ya han asignado.
Por ejemplo, si se tiene un informe sobre un incidente que su organización ha detectado y sobre el cual ha trabajado, esta puede ser una excelente fuente interna para mapear a ATT&CK, o también se podría usar un informe externo para hacerlo.

Ejemplo: aquí hay un fragmento de un informe de FireEye que ha sido asignado a ATT&CK a la Operation Double Tap o APT3.


Puede ser intimidante intentar mapear a ATT&CK cuando no se conocen todas las cientos de técnicas descriptas en el framework. Aquí hay un proceso que puede seguir para ayudar con esto.
  • Comprenda ATT&CK: familiarícese con la estructura general de ATT&CK y sus tácticas (los objetivos técnicos del adversario), técnicas (cómo se logran esos objetivos) y procedimientos (implementaciones específicas de técnicas). Se puede comenzar por el principio o siguiendo la filosofía de MITRE.
  • Encuentre el comportamiento: piense en la acción del adversario de una manera más amplia que solo el indicador atómico (como una dirección IP) que usaron. Por ejemplo, el malware en el informe anterior "establece una conexión SOCKS5". El acto de establecer una conexión es un comportamiento que siguó el adversario por algún motivo.
  • Investigue el comportamiento: si no está familiarizado con el comportamiento, es posible que deba investigar más. En nuestro ejemplo, una pequeña investigación demostraría que SOCKS5 es un protocolo de Capa 5 (capa de sesión).
  • Transforme el comportamiento en una táctica: considere el objetivo técnico del adversario para ese comportamiento y elija una táctica que se ajuste. La buena noticia es que solo hay 12 tácticas para elegir en ATT&CK. Para el ejemplo de conexión SOCKS5, establecer una conexión para comunicarse más tarde estaría bajo la táctica de Comando y Control (C&C).
  • Averigüe qué técnica se aplica al comportamiento observado. Esto puede ser un poco complicado, pero con los ejemplos del sitio web de ATT&CK es factible: aparece la técnica Standard Non-Application Layer Protocol (T1095) y, al mirar la descripción de la técnica, se encuentra que este podría ser el lugar donde encaja dicho comportamiento.
  • Compare sus resultados con otros analistas: por supuesto, es posible que tenga una interpretación diferente de un comportamiento que otro analista. Esto es normal y sucede todo el tiempo en ATT&CK y por eso es importante la existencia del framework y discutir cualquier diferencia.
Para aquellos equipos que ya tienen un par de analistas, asignar información a ATT&CK puede ser una buena manera de asegurarse de obtener la información más relevante para cumplir con los requisitos de la organización.

Continuará...
Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!