31 oct. 2019

Comenzar a usar ATT&CK [III]

Nivel 3

Si su equipo de TI y Seguridad de la Información está avanzado, puede comenzar a asignar más información a ATT&CK, y luego usar esa información para priorizar la mejor forma de defensa. Tomando el proceso anterior, puede asignar información tanto interna como externa a ATT&CK, incluidos datos de respuesta a incidentes, informes de OSINT o suscripciones de inteligencia de amenazas, alertas en tiempo real e información histórica de su propia organización o de otras con las cuales tenga relación (por ejemplo, si forma parte de CSIRT).

Una vez que haya asignado esta información, puede hacer algunas cosas interesantes para comparar grupos y priorizar las técnicas comunes utizadas por los grupos delictivos. Por ejemplo, se puede tomar esta vista matricial del navegador ATT&CK mapeadas con las técnicas utilizadas por la APT3 resaltadas en azul; las utilizadas por APT29 están resaltados en amarillo, y los utilizados por APT3 y APT29 están resaltados en verde.

Todo se basa únicamente en información disponible públicamente mapeada adecuadamente para cada grupo.
En la matriz, sólo se debe sustituir los grupos y las técnicas que le interesan a su organización en función de las principales amenazas detectadas. Para ayudarlo a crear sus propias capas en el Navigator de ATT&CK, aquí hay una guía paso a paso [PDF] así como un video tutorial que proporciona una descripción general de la funcionalidad de Navigator.

Luego, se puede agregar la información para determinar qué técnicas se usan comúnmente, lo que puede ayudar a los defensores a saber qué priorizar y compartir con los defensores lo que deberían centrarse en detectar y mitigar.

En nuestra matriz anterior, si APT3 y APT29 eran dos grupos que una organización consideraba serias amenazas para ellos, las técnicas en verde podrían ser la máxima prioridad para determinar cómo detectarlas y mitigarlas. Si nuestros defensores le han dado al equipo de TI/SI el requisito de ayudar a determinar dónde deben priorizar los recursos para la defensa, podemos compartir esta información con ellos como para comenzar a tener datos.

Si nuestros defensores ya han realizado una evaluación de lo que pueden detectar, se puede superponer esa información con lo que se sabe sobre sus amenazas.

Puede continuar agregando las técnicas que se han observado de los adversarios, en función de los datos que se tiene y así desarrollar un "mapa de calor" de las técnicas utilizadas con frecuencia.

Brian Beyer y Katie Nickels hablaron en la Cumbre SANS CTI sobre cómo armar un "Top 20" de técnicas, basados en conjuntos de datos seleccionados por MITRE. Su equipo podría seguir este mismo proceso para crear su propio top.

Si bien este proceso de mapeo de las técnicas ATT&CK no es perfecto y tiene un sesgo, esta información puede ayudar para comenzar a obtener una imagen más clara de lo que están haciendo los adversarios

Para un equipo avanzado que busca utilizar ATT&CK, mapear varias fuentes también puede ayudar a desarrollar una comprensión profunda del comportamiento del adversario para priorizar e informar a la defensa de su organización.

En futuras publicaciones, profundizaremos en cómo se puede comenzar con otros casos de uso, incluida la detección y análisis, la emulación de adversarios y la formación de equipos rojos (Red Team), y la evaluación e ingeniería.

Continuará...
Cristian de la Redacción de Segu-Info

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!