1 66 Table of Contents 68 84

Red Seguridad 085

red seguridad segundo trimestre 2019 67 indicando la capacidad de detección, generalmente debemos entender que el que lo muestra es capaz de descu- brir al menos una manera de imple- mentar cada técnica marcada, pero no podemos dar por sentado que es capaz de detectar cualquier imple- mentación de la misma. Llegados a este punto, podemos observar que el problema que inten- tamos resolver es más complejo de lo que pueda parecer en un principio. Posibles usos Yendo un paso más allá, y basán- donos en toda la información sobre los actores de la que podamos dis- poner en forma de TTP, junto con la información que nosotros mismos somos capaces de producir, salen a la palestra dos posibles usos: – La bola de cristal: Mientras moni- torizamos un ataque, ¿por qué no utilizar la información que tenemos para saber qué va a ocurrir a con- tinuación? – Atribución: ¿Quién puede estar detrás de este ataque? Será posible realizar una correlación de los eventos y tratar de definir qué técnica tiene mayor probabilidad de ocurrir a continuación, pero siempre siendo realistas y teniendo en cuenta que no se trata de predecir el futuro. A la hora tratar de resolver este pro- blema, existen diferentes aproxima- ciones expuestas por MITRE, pero es frecuente que no dispongamos de información que podría ser muy útil, como puede ser el orden en que ha sido detectada cada técnica, la diferencia de tiempo entre las distintas técnicas o tener constancia de cada instancia o detección de cada técni- ca. Habitualmente, la información que tenemos consiste en una simple lista de técnicas, sin más información con- textual, lo que no ayuda a la hora de exprimir el conocimiento disponible. La atribución basada en el modus operandi también resulta interesante, pero es extremadamente difícil reali- zarla con garantías. Existe bastante información referente a los atacantes, pero nos encontramos nuevamente con información parcial. Al publicar información referente a un actor, lo que se suele revelar es lo que se ha visto durante el análisis, tal vez limita- do por un NDA y sesgado por lo que el autor ha considerado relevante, tanto a la hora de analizar el incidente como a la hora de publicar el informe. La información hace referencia a la actuación del atacante en un entorno concreto y en unas circunstancias específicas y, aunque ciertos modos de operar, herramientas y técnicas proveen información relevante, segu- ramente algunas otras dependen del objetivo y del entorno encontrado durante el ataque. Del mismo modo que en el apartado anterior, la infor- mación carece generalmente de infor- mación relevante como el orden o número de apariciones de cada una, por citar los más evidentes. Es por tanto muy importante ser cautelosos a la hora de sacar conclu- siones y ser capaces de fundamentar cada vez que se indica qué técnica tiene mayor probabilidad de apare- cer o cada vez que se realiza una atribución de un comportamiento a un grupo. Queda camino por recorrer, pero la sensación es que se están haciendo las cosas bien. ATT&CK de MITRE es un proyecto muy vivo, con cada vez más adeptos y, además de actuali- zar la de sobra conocida matriz, se están dando pasos hacia la obtención de información muy valiosa para su posterior análisis. Se debe, por tanto, seguir –y seguimos– trabajando en una obtención de información relevan- te, útil y certera. Debemos continuar madurando la adopción y el uso que se da al excelente trabajo que nos proporciona MITRE y sacar el máxi- mo partido a todo lo disponible; pero siempre con cautela y siendo cons- cientes tanto de los puntos fuertes como de los débiles de las herramien- tas y de la información que tratamos. Referencias MITRE ATT&CK Blog: Finding Related ATT&CK Techniques . https:// medium.com/mitre-attack/finding- related-att-ck-techniques-f1a4e- 8dfe2b6 MITRE ATT&CK Sightings: https:// attack.mitre.org/resources/sightings/ Blogpost CounterCraft: How to fight threats in the modern age . https:// www.countercraft.eu/blog/post/ some - t hough t s - abou t - t h rea t - fighting/ LATT&CK de MITRE permite visualizar lo que está sucediendo en un entorno controlado y monitorizado, creando el modelado del ciberataque en tiempo real. defensa opinión

RkJQdWJsaXNoZXIy MzA3NDY=