2 dic. 2020

Atomic Red Team: biblioteca de pruebas Red Team para probar defensas

Atomic Red Team es una biblioteca de pruebas simples que todo equipo de seguridad puede ejecutar para probar sus defensas. Las pruebas están enfocadas, tienen pocas dependencias y se definen en un formato estructurado que pueden usar los marcos de automatización.

Las pruebas Atomic Red Team son pequeñas pruebas de detección altamente portátiles asignadas al marco MITRE ATT&CK. Cada prueba está diseñada para mapear una táctica particular. Esto les brinda a los defensores una forma altamente procesable de comenzar a probar inmediatamente sus defensas contra un amplio espectro de ataques.

Inicialmente Atomic Red Team fue creado como una forma de probar la cobertura de detección de Red Canary contra la mejor taxonomía de tácticas/técnicas adversas, ATT&CK de Mitre. El equipo de ingeniería de detección tenía un proceso de prueba unitario bien elaborado, pero quería agregar "pruebas funcionales". Había nacido Atomic Red Team.

Pronto se dieron cuenta de que podían ayudar a los equipos a utilizar el mismo enfoque para evaluar Red Canary y otros productos de detección y respuesta para evaluar su cobertura. El método de prueba estándar para usar muestras de malware de VirusTotal u otros sitios de intercambio de malware era una representación excepcionalmente pobre de un adversario del mundo real. Y simplemente no podía confiar en la mayoría de los proveedores para que le dieran muestras imparciales.

Con estos principios en mente, lanzamos públicamente Atomic Red Team. La respuesta que recibimos fue, honestamente, un poco abrumadora y nos mostró que había una necesidad masiva en la comunidad para este tipo de proyecto. Estamos especialmente agradecidos con el equipo de MITRE ATT&CK, cuyo gran trabajo nos ha dado una gran taxonomía para trabajar.

Creencias clave

Los "Red Team" deben poder probar todo, desde controles técnicos específicos hasta resultados. Los equipos de seguridad no quieren operar con una actitud de "esperanzas y oraciones" hacia la detección. Necesitamos saber qué pueden detectar nuestros controles y programas, y qué no. No tenemos que detectar a todos los adversarios, pero debemos conocer nuestros puntos ciegos.

Deberíamos poder realizar una prueba en menos de cinco minutos.

La mayoría de las pruebas de seguridad y las herramientas de automatización requieren una enorme cantidad de tiempo para su instalación, configuración y ejecución. Acuñamos el término "pruebas atómicas" porque pensamos que había una forma sencilla de descomponer las pruebas para que la mayoría se pudiera ejecutar en unos pocos minutos.

La mejor prueba es la que realmente se ejecuta

Necesitamos seguir aprendiendo cómo operan los adversarios. La mayoría de los equipos de seguridad no tienen la ventaja de ver una amplia variedad de tipos y técnicas de adversarios cruzando sus redes todos los días. Incluso en Red Canary solo nos encontramos con una fracción de las posibles técnicas que se están utilizando, lo que hace que la comunidad que trabaje unida sea esencial para mejorar a todos.

Casos de uso

Pruebe sus controles de seguridad de producción

Actualmente, tiene uno o más controles de seguridad en producción. Pero, ¿sabe cómo se desempeñan cuando se les presentan técnicas adversas específicas? Atomic Red Team se puede utilizar para introducir técnicas adversas conocidas de manera controlada.

Preguntas que hacer

  • ¿Estamos recibiendo señales de todos los eventos observables?
  • ¿Estamos recibiendo alertas de eventos que deberían ocurrir con baja frecuencia o que tienen un alto impacto?

Probar la cobertura de un producto durante una prueba de concepto

El caso de uso original de Atomic Red Team, estas pruebas son un medio invaluable para validar las afirmaciones de los proveedores o para medir objetivamente la presencia o la calidad de las señales en múltiples productos.

Preguntas que hacer

  • ¿Estamos recibiendo señales de todos los eventos observables?
  • ¿Estamos recibiendo alertas de eventos que deberían ocurrir con baja frecuencia o que tienen un alto impacto?
  • ¿La alerta para un evento dado es determinista o depende del contexto de tiempo de ejecución (es decir, usuario, atributos de proceso padre/hijo, etc.)?

Probar su equipo de análisis y sus procesos

Si bien es ideal que los controles técnicos se prueben y comprendan, es fundamental que los líderes de seguridad de la información comprendan cómo se desempeña su capacidad operativa, la combinación de controles técnicos, experiencia y procesos de respuesta, frente a un adversario determinado.

Preguntas que hacer

  • ¿Uno o más de nuestros controles técnicos identifican la prueba o reacción en cadena?
  • ¿Depende la detección de la correlación automatizada? ¿Sobre el análisis humano?
  • En cualquier caso, ¿con qué rapidez detectamos la actividad?
  • ¿Cuánto tiempo nos lleva contener, remediar, recuperar?
  • ¿Cuál es la relación señal-ruido para los criterios de detección utilizados para identificar la actividad? ¿Es sostenible, en conjunto con los criterios requeridos para cubrir un mayor porcentaje de la matriz ATT&CK?

Más información y descarga de Atomic Red Team: https://github.com/redcanaryco/atomic-red-team

Fuente: Gurú de la Informática

Suscríbete a nuestro Boletín

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!