D3FEND, la otra cara de la moneda ATT&CK

David García    7 septiembre, 2021
D3FEND

Ya conocemos el proyecto ATT&CK de la corporación MITRE. Se trata de un estándar de facto que nos ayuda a la caracterización de las amenazas en base a las técnicas y herramientas usadas por el cibercrimen, algo fundamental a la hora de planificar o modelar amenazas.  Está basado en el concepto con raíces militares de TTP o tácticas, técnicas y procedimientos. Al final, su objetivo es modelar los diversos actores: cómo lo hacen, quién lo hace y porqué lo hace. Con esta información es posible realizar simulaciones de ataques de forma realista, mejorar la detección de actividad maliciosa en la red, etc. Pero hoy hablaremos de D3FEND.

Aunque ATT&CK posee un capítulo respecto a las mitigaciones, la disposición de mitigaciones no permitía una denominación común que facilitara la creación de relaciones. Básicamente, se trataba de pinceladas defensivas de un par de líneas a un párrafo de extensión sin concordancia entre ellas.

Viendo esta necesidad, la propia MITRE se embarca en un proyecto (en fase beta) para categorizar y construir un lenguaje común respecto de las capacidades defensivas y contramedidas posibles. D3FEND nace con esa premisa: crear una base de conocimiento en forma de ontología que recoja el conjunto de contramedidas y capacidades. Además, no se descuelga de ATT&CK, sino que también mapea sobre ella añadiendo o extendiendo el capítulo de mitigaciones.

El framework se nos presenta en forma de matriz (al igual que las matrices de ATT&CK). En esta podemos ver la clasificación general: Harden, Detect, Isolate, Deceive y Evict. Distintos fundamentos de defensa que se desarrollan en varias columnas.

Por ejemplo, algo extremadamente común es la detección de malware basada en el análisis del tráfico DNS, ya sea en la red circundante o durante la detonación de una muestra o ejecutable. En tal caso, se trata de un ítem del área de detección y subárea de análisis del tráfico de red. Como podemos ver, dentro de esta nos encontramos con el ítem “DNS Traffic Analysis” que contiene una completa definición y relaciones con otros artefactos del marco de trabajo, además (y esto es especialmente útil) del mapeo correspondiente con ATT&CK.

Una vez obtenemos la definición y relaciones con ATT&CK, podemos ampliar las relaciones con el resto de los artefactos pinchando sobre el grafo del apartado Digital Artifact Relationships:

Aquí podremos ver de forma práctica las relaciones tanto con otras técnicas defensivas como con el mapeo al marco de trabajo de ATT&CK. En este aspecto es especialmente útil. Por ejemplo, si hacemos zoom sobre la imagen, vemos que las técnicas ofensivas descritas en ATT&CK y que producen tráfico DNS saliente están agrupadas e identificadas:

No se trataría ahora de ir adoptando contramedidas sobre todas las técnicas identificadas, sino que todas esas técnicas derivan en el concepto de Outbound Internet DNS Lookup Traffic o lo que es lo mismo: realizar una consulta DNS.

Ahí es donde debemos poner nuestro énfasis y percutir hacia las contramedidas que nos van a facilitar la adopción de controles y defensas posibles, o por correspondencia, el lado defensivo del árbol:

De aquí nacerían esas contramedidas. ¿Qué hacemos para detectar e impedir la resolución de dominios maliciosos? Esa pregunta sería respondida por D3FEND aquí, en este punto.

Por ejemplo, una de las contramedidas es la clásica lista de dominios bloqueados. Algo que habitualmente se alimenta a través de un feed de dominios clasificados como maliciosos o de categorías similares: spam, porno, apuestas, etc.

Como vemos, defender es un arte y aquí está la ciencia, que viene a clasificar, documentar e interrelacionar todo concepto para que podamos disponer de una visión táctica y ayudarnos en la ardua tarea de levantar muros y cavar trincheras.

D3FEND está en beta, ya lo hemos comentado, y mucho contenido aún está por detallar y ampliar. No obstante, vemos que posee potencial y sobre todo que se complementa muy bien con su gemelo, ATT&CK.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *