Cuando se habla de retos en ciberseguridad, posiblemente uno de los más complejos es determinar quién está detrás de un ataque, cuáles son sus motivaciones y, sobre todo, cómo ha logrado sobrepasar los controles de seguridad de una organización.  

Con el propósito de tener mayor visibilidad, la industria ha trabajado en varios frentes para perfilar a los adversarios, esfuerzos que van desde el modelo de diamante del análisis de intrusióni y el modelo Qii para la atribución, hasta el estándar ATT&CKiii (Adversary tactics, techniques and common knowledge) del Mitre. 

En los últimos meses, ATT&CK ha capturado la atención de los profesionales de la ciberseguridad, en particular de los grupos ofensivos y algunos defensivos ¿Qué lo hace atractivo para la industria? 

ATT&CK es un repositorio de información que contiene las tácticas, técnicas y procedimientos que pueden ser y son usados para comprometer la seguridad de los activos tecnológicos. En un inicio solo estaba enfocado a sistemas Windows, documentando las técnicas que se usaban para lograr persistencia y la posexplotación, tratando además de apoyar a: 

  • Entender el comportamiento de los adversarios. 
  • Dar detalles del ciclo de vida de un ataque, dado que el CyberKill Chain y el Cyber Attack Life Circle seguían siendo muy contextuales. 
  • Contar con información vista en ataques verdaderos.  
  • Contar con una taxonomía común. 

Todo lo anterior desde la premisa de que las capacidades ofensivas incrementan las capacidades defensivas. 

En la actualidad, el modelo ha evolucionado y también incluye técnicas usadas en sistemas Linux, MacOS, dispositivos móviles e incluso información sobre estrategias usadas durante la preexplotación. 

Al tratar de ser un modelo holístico con detalles, existen diversos casos de uso en los cuales se aplica: 

  • Simulación de adversario: ejercicio que permite simular las técnicas de algún adversario para validar si la organización cuenta con la visibilidad necesaria para detectarlo o si las capacidades preventivas podrían crear un entorno seguro. Cuando se cuenta con una capa madura de inteligencia de amenazas es posible seleccionar adversarios que realmente pueden ser una amenaza para la organización, por ejemplo, grupos que están atacando la industria a la cual pertenecen e incluso podrían estar o ya están operando en la región.  Este tipo de ejercicio incluso se puede sumar a un esfuerzo de simulación redteam vs blueteam llamado purple team
  • Pruebas de funcionalidad de soluciones de seguridad: uno de los casos más usados es validar la telemetría y capacidades de detección y prevención de soluciones de seguridad. En este contexto, por ejemplo, ATT&CK es muy usado para pruebas a soluciones avanzadas en EndPointiv
  • Entendimiento y atribución de un ciberataque: cuando se está realizando el monitoreo de seguridad, es importante saber si los eventos observados son parte de alguna cadena de acciones de un adversario. Una de las maneras más transparentes para esto es mapearlas al modelo y ver si se logra relacionar con información de algún grupo. 
  • Hunting de amenazas: cuando se tiene la visibilidad necesaria en los endpoint y servidores, es posible buscar los TTP de algún adversario mapeados al modelo y detectar no solo las técnicas, sino también la cadena de pasos o acciones necesarias, lo que permite hacer estos análisis en retrospectiva para identificar alguna brecha de seguridad. 

A medida que la industria adopte este tipo de modelos, podremos contar con un lenguaje común que apoyará a entender de una mejor manera a un adversario y sus capacidades. El siguiente paso es conocer más sobre la motivación, para tener una postura de riesgos más detallada que ayude a mejorar la estrategia de protección de una organización.   

 

[email protected]