Red Seguridad 085
66 red seguridad segundo trimestre 2019 defensa opinión Mikel Gastesi Senior Threat Intelligence Analyst de CounterCraft Adoptando el ATT&CK de MITRE para ‘Threat Hunting’ Matriz de MITRE Por otra parte, existen técnicas que no son fáciles de encajar en la matriz de MITRE, e incluso comportamien- tos que queremos detectar y mostrar pero no tienen por qué tener un lugar en el ATT&CK de MITRE. Por ejem- plo, la descarga y posterior ejecución de un binario puede ser considerada una acción interesante que queremos detectar y que podrá incluso indicar que las siguientes acciones pertene- cen a dicho software/malware y no al actor propiamente dicho, pero la acción desencadenante tal vez no tiene cabida, o sí, en la matriz. Una vez implementada la abstrac- ción de comportamientos sobre el ATT&CK de MITRE, a medida que vamos "coloreando celdas", la matriz de MITRE se convierte en una defi- nición de conjunto de técnicas que queremos detectar y mostrar a alto nivel. Por tanto, el sentido común nos dice que el número de celdas que seamos capaces de "colorear" nos indicará qué somos capaces de detectar e incluso de inferir la madu- rez de un producto. Esto es realmente engañoso, ya que detectar la imple- mentación de una técnica no implica detectar todas las posibles puestas en funcionamiento o maneras de eje- cutar el mismo propósito. Por tanto, cuando vemos un mapa de cobertura malo, la información que perdemos por el camino será un factor muy determinante. Una de las mayores bondades que nos ofrece el modelado de amenazas es allanar el camino al analista u operador. No importa si el sistema ha detectado la ejecu- ción de comandos como 'ifcon- fig' o 'ipconfig.exe', ni tan siquiera si la máquina en la que se ha detectado es un servidor Linux o Windows, el usuario verá que se ha detectado una acción dentro de la fase de descubrimiento ( Discovery ). Tampoco importa si lo que se ha detectado es una secuencia de varios eventos en la que se ha visto una conexión desde una máquina de la red interna, seguida de un login y una ejecución de un pro- ceso, o se ha detectado el uso de un patrón conocido y un SSH Hijacking aprovechando conexio- nes ya existentes. El analista podrá, en un primer momento, abstraerse de dichos detalles y saber que ha sucedido un movimiento lateral ( Lateral Movement ). De esta mane- ra, podrá observar de un vistazo la información más relevante e indagar en busca de más detalles en o alre- dedor de los eventos que han defi- nido dichos TTP (tácticas, técnicas y procedimientos). E l att & ck de mitre es una excelente herramienta. Nos brinda un lenguaje común con el que hablar sobre un incidente y es una manera de expre- sar qué ha ocurrido y de tratar de entender cómo actúa un atacante. Se trata de una herramienta que nos permite representar y visualizar lo que está sucediendo en un entorno controlado y monitorizado, creando el modelado del ciberataque en tiem- po real. Y, eso no es todo, nos pre- senta la información de una manera con la que los analistas empezamos a estar familiarizados, facilitando aún más la comprensión de todo lo que nos muestra. A la hora de adoptar e implemen- tar este modelado de amenazas, vemos la potencia que nos brin- da, pero también algunas limitacio- nes inherentes a su diseño. Cabe comentar que también nos obliga a manejar las expectativas de quie- nes, abrumados e ilusionados al verlo, desean que sea la solución a todos los problemas a los que quie- ren dar respuesta. Reflexionando sobre qué significa utilizar el modelado de amenazas, vemos que estamos tratando de categorizar eventos muy complejos que suceden en un contexto deter- minado dentro de una tabla finita. Tanto para lo bueno como para lo
Made with FlippingBook
RkJQdWJsaXNoZXIy MzA3NDY=