9 nov 2023

El modelo diamante vs MITRE ATT&CK

El Modelo DIAMOD sirve para describir relaciones de alto nivel entre Adversarios, sus Capacidades, Infraestructura y Víctimas de intrusiones. Si bien el modelo de diamante se usa más comúnmente con intrusiones únicas y aprovechando el subproceso de actividad como una forma de crear relaciones entre incidentes, un enfoque centrado en el adversario permite crear un diamante, aunque desordenado.

El Modelo Diamante establece el evento como el elemento más básico de cualquier actividad maliciosa y se compone de cuatro características principales: el adversario, la víctima, la infraestructura y la capacidad. Toda actividad maliciosa contiene estas características (como lo establece el Axioma 1). Por lo tanto, cualquier búsqueda (cacería) se basa en última instancia en estas características y enfoques.

Adversario

Un adversario es cualquiera que busque comprometer sus sistemas o redes para promover su progreso hacia los objetivos. La definición es deliberadamente amplia para reflejar el hecho de que un adversario podría ser una persona interna maliciosa, un actor de amenaza externo, un grupo de amenaza o incluso una organización. Al momento de descubrir inicialmente cualquier evento de intrusión, es poco probable que sepas quién es el adversario.

Capacidad

Una capacidad es una herramienta/técnica desplegada por un adversario en un evento. Las capacidades potenciales utilizadas por varios adversarios son casi infinitas, pero algunos ejemplos incluyen adivinar contraseñas por fuerza bruta, instalar puertas traseras para establecer comando y control, etc.

Infraestructura

La infraestructura no es la infraestructura de su entorno de TI. Más bien, el término se relaciona con las estructuras de comunicación que los delincuentes informáticos utilizan para ofrecer sus capacidades. Los ejemplos incluyen nombres de dominio, dispositivos USB, cuentas comprometidas, servidores de almacenamiento de malware, etc.

Víctima

La víctima es el objetivo de un adversario contra el que pretende utilizar sus capacidades. El modelo establece que una víctima no siempre tiene que ser una persona o una empresa; podría ser una dirección de correo electrónico o un dominio.

Dada esta gama de posibilidades, puede ser más granular al definir a las víctimas dividiéndolas en personas de la víctima (personas, empresas) y activos de la víctima (la superficie de ataque que abarca todos los activos de TI contra los cuales un adversario puede usar capacidades).

MITRE ATT&CK

El framework de MITRE ATT&CK se utiliza para documentar Tácticas, Técnicas y Procedimientos (TTP) comunes utilizan las amenazas avanzadas contra redes empresariales.

Tacticas

Las Tácticas representan el por qué de una técnica o subtécnica. Es el objetivo táctico del adversario: el motivo de realizar una acción.

Technicas

Las Técnicas representan cómo un adversario logra un objetivo táctico al realizar una acción.

Fuente: Active Response | Elastic.co

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!