Un acercamiento práctico a integrar ATT&CK y D3FEND de MITRE

Diego Samuel Espitia    24 febrero, 2022
MITRE

Las empresas ya han tomado conciencia de la importancia de tener mecanismos que garanticen la protección de su información y lo relevante que resulta entender sus debilidades para poder mejorar su nivel de resiliencia ante un incidente cibernético. Aunque muchos directivos continúan viendo la seguridad como la necesidad de disponer de elementos diseñados para proteger y minimizar la posibilidad de un ataque, esto ya no es así. La ciberseguridad es un proceso continuo que requiere el entender a los contrincantes y conocer los riesgos del entorno.

Con esta filosofía nació en 2013 ATT&CK de MITRE, de la que hemos hablado en anteriores ocasiones en nuestro blog, buscando recopilar en una matriz las técnicas, tácticas y procedimientos, que usan los atacantes en acciones reales contra entornos empresariales, móviles e industriales, donde su evolución ha permitido generar la creación de una matriz de capacidades defensivas y de contramedidas, llamada D3fend.

Mitre establece que, “la inteligencia de amenazas cibernéticas se trata de saber qué hacen los adversarios y usar esa información para mejorar la toma de decisiones”, así que, independientemente del tamaño del equipo de ciberseguridad, esta herramienta es vital en el proceso de garantizar la seguridad de la información. De esta forma se permite asociar técnicas de los principales grupos criminales, casos icónicos de incidentes en las diferente industrias, validar por la industria cuáles son los adversarios comunes, conocer el software usado en cada una de las fases del ataque. entre muchas otras herramientas que se brindan.

Las empresas que apenas están empezando y tienen pocos recursos dentro del área, pueden empezar entendiendo el comportamiento usual de los adversarios de su industria, para con estos datos validar si las defensas implementadas detectan y mitigan el accionar de estos grupos. Para entender cómo se realiza este análisis, vamos a tomar como ejemplo una empresa de logística, víctimas últimamente de varios ataques de ransomware en todo el mundo.

1. Encuentra tu sector. Determinar el sector de la industria hacia la que se enfoca el negocio. Para esto el sitio web provee un buscador en la parte superior. Para el ejemplo colocaremos allí logistics.

Figura 1: Resultado de búsqueda en https://attack.mitre.org/groups/

Para el análisis vamos a tomar el ransomware Cuba, que marcamos en la ilustración. Es uno de los más usados contra empresas medianas en Latinoamérica.

2. Información del adversario. Una vez se selecciona el software o grupo a analizar se accede a la información que coloca el sistema, como datos básicos de plataforma que ataque, desde cuándo fue detectado, quién lo detecto y las industrias víctimas.

Figura 2: Información del adversario

3. Conocer las técnicas. En esta misma página del adversario muestra las técnicas que se han detectado en los ataques donde se ha usado este malware en una lista que enumera las técnicas y sub-técnicas usadas

Figura 3: Técnicas usadas por Cuba en un ataque.

Allí mismo en el “Navigator Layers” da la posibilidad de ver dentro de la matriz cuáles son las tácticas y sus técnicas.

Figura 4: Visualización de tácticas y técnicas usadas por Cuba.

Como se puede ver en este caso se desconocen o no se reflejan las técnicas usadas por los grupos adversarios para iniciar el ataque, lo que se denomina pre-attack en la matriz. Esto suele indicar que se utilizan técnicas demasiado variadas como para establecer una en concreto.

4. Conocer las defensas. Cada una de las técnicas tiene una sección donde se enumeran las posibles formas de detección que se deben implementar para mitigar esta acción. Para el ejemplo vamos a ver una sub-técnica usada en la táctica de ejecución, y que suele ser el primer paso detectado por los investigadores de respuesta de incidentes en los ataques con este ransomware.

Figura 5: Técnica a analizar, debido a que nos muestra un comando.

Los adversarios usan la consola de comandos de Windows para ejecutar programas dentro de la maquina víctima, para el caso puntual de Cuba se ha detectado el comando cmd.exe /c en varias de sus actividades analizadas.

Al acceder a la información de la técnica, se tiene los datos básicos recolectados de como la han usado, algunos de los procedimientos donde se ha detectado, posibles mitigaciones y formas de detectar su ejecución. Para nuestro caso de ejemplo veremos directamente la información y la posible forma de detectarlo.

Figura 6: Datos de la Técnica T1059.003
Figura 7: Recomendaciones de detección para la T1059.003

Con esta información el equipo de ciberseguridad, puede tomar las decisiones de cómo actuar para prevenir un incidente que utiliza este software para afectar a su sector industrial.

Incluso, puede tomar la referencia de la técnica para buscar en la matriz de defensa sobre más información de cómo protegerse. Visita https://d3fend.mitre.org/ y en el buscador denominado ATT&CK lookup coloca la técnica, para nuestro ejemplo T1059.003.

Figura 8: Relación con matriz de defensa.

Esto muestra el mapa de las formas de defensa y detección, que para nuestro ejemplo son las siguientes.

Figura 9: Mapa de defensa para T1059.003

En resumen, esta herramienta es muy valiosa para todo tipo de empresas y equipos de ciberseguridad, entregando información y datos para tomar decisiones en búsqueda de una mejor resiliencia cibernética.

Diego Samuel Espitia
Diego Samuel Espitia

Ingeniero Electrónico, Especialista en Seguridad de Redes, CEH, Auditor ISO27000, RHCT. Chief Security Ambassador - CSA de Telefónica Tech en Colombia.

Te puede interesar

Deja una respuesta

Tu dirección de correo electrónico no será publicada.