ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths Qué hemos presentado en el Security Innovation Day 2017 (I): Keynote: Security Rocks! ERSISTENT INNOVATION A las 15:30 del pasado 5 de octubre se apagaron las luces del Auditorio de Telefónica para dar comienzo al V Security Innovation Day. Riffs de guitarras daban...
ElevenPaths ¿Qué es la VPN y para qué sirve? Las conexiones VPN no son nada nuevo, llevan con nosotros mucho tiempo, siempre unidas al ámbito empresarial. La gran versatilidad y sus diferentes usos ha hecho que cada vez...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Yamila Levalle El lado oscuro de la impresión 3D: desafíos, riesgos y usos maliciosos (II) La tecnología de impresión 3D está revolucionando los procesos de fabricación y sus entusiastas imaginan un futuro donde cada hogar y empresa tenga al menos uno de estos dispositivos, lo que...
ElevenPaths Inteligencia visual: Reconocimiento de amenazas a través de la vista Una de las habilidades imprescindibles para un analista OSINT es ser resiliente al exceso de información, tener la capacidad de seleccionar fácilmente qué es relevante y hacerlo rápidamente. De...
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
ElevenPaths ElevenPaths de Telefónica amplía su colaboración con Fortinet para mejorar la seguridad del sector industrial ElevenPaths y Fortinet se asocian para mejorar la ciberseguridad en procesos industriales mediante la entrega de soluciones integrales de OT, IT e IoT.
ElevenPaths Seguridad para WordPress: tu página web también necesita protección Si tienes una web o un blog en WordPress, te será útil tener en cuenta estos consejos para mantener segura tu página.
Interpretación y evolución de MITRE ATT&CK: más cobertura “horizontal” no significa mejor protecciónEquipo de Cytomic, unit of Panda Security 29 abril, 2020 La matriz MITRE ATT&CK se ha convertido en el estándar de clasificación de los posibles comportamientos de los adversarios. Su popularidad no ha hecho más que crecer en los dos últimos años. Las ventajas de este marco para los fabricantes son evidentes: ahora pueden, mapear, adaptar y mejorar sus capacidades de detección. Los beneficios para otros actores en ciberseguridad también son claros, como los Red Teams, que ahora pueden emular mejor la actividad de los adversarios; o para gestores de la ciberseguridad, que pueden evaluar mejor y de forma más sistemática sus defensas e identificar lagunas. ATT&CK es una base de datos de gran tamaño que sirve para identificar tácticas comunes, técnicas y procedimientos (TTPs por sus siglas en inglés) que las amenazas persistentes avanzadas utilizan contra plataformas informáticas. Ahora MITRE incorpora importantes cambios en su Matriz ATT&CK. El pasado 31 de marzo, como evolución del modelo y parte de su roadmap para este año, MITRE publicaba la versión beta de la nueva matriz. Nuevas técnicas, algunas otras descontinuadas, cambios en los nombres y descripciones y quizás el cambio más novedoso: la introducción de sub-técnicas, que añaden un nivel más a la estructura de la matriz. De esta manera, pasamos a contar con tácticas, técnicas, sub-técnicas y procedimientos. En total más de 340 técnicas y subtécnicas mapeadas en las 12 tácticas que conforman las columnas de la matriz. Un esfuerzo titánico por parte de MITRE, que con esta actualización permite contar con la catalogación más completa y sistemática del comportamiento de los ciberatacantes hasta la fecha. Figura 1. Ejemplo de técnicas agrupando varias sub-técnicas en la nueva versión de la matriz MITRE ATT&CK, en beta Utilización de MITRE ATT&CK en la evaluación de productos de seguridad A pesar de la gran mejora que esta iniciativa ha supuesto, existe cierto grado de confusión respecto a la interpretación de la aplicación del modelo, sobre todo a la hora de evaluar soluciones de seguridad. “Las evaluaciones en base a ATT&CK deben definir el tipo de cobertura a medir, según los objetivos de cada evaluación. Más cobertura “horizontal” no significa mejor protección.” En primer lugar, y tras la publicación de los resultados de la primera evaluación de producto de tipo EDR realizada por MITRE en 2018 (la llamada Round 1), algunos participantes -no MITRE-, trataron de equiparar el grado de cobertura de detección de las técnicas con una mayor calidad o efectividad de protección. La propia MITRE señala que ATT&CK documenta el comportamiento conocido de los adversarios y no intenta ser un checklist de las cosas que deben chequeadas. No todos esos comportamientos pueden o deben ser utilizados como base para enviar alertas o datos a un analista. Sin embargo, resulta tentador para un fabricante mostrar gráficas representando un mayor grado de cobertura de las técnicas de la matriz, independientemente de la táctica a la que pertenezcan. Por tanto, el concepto de cobertura puede ser engañoso. Las técnicas -y ahora, también las sub-técnicas- pueden implementarse de muchas formas cambiantes -procedimientos- por parte de los atacantes, y es muy difícil conocerlas todas a priori. El resultado puede ser distinto si se evalúa uno u otro procedimiento, para una misma técnica y producto. En un estudio publicado por OPTIV en 2019, ya pudimos comprobar el diferente comportamiento de varios productos de seguridad, testeando varios procedimientos para una misma técnica vs testeando uno solo -referencia-. Por lo tanto, mayor cobertura horizontal no significa necesariamente “mejor” producto. De hecho, no todas las tácticas pueden tener el mismo peso o importancia para una organización evaluando un producto determinado. Por ejemplo, si se está evaluando, la capacidad real de protección (incluyendo la prevención), entonces convendrá prestar especial atención a una cobertura más profunda, de más procedimientos, para las tácticas “más a la izquierda” en la matriz; de forma que se bloqueen los intentos de los atacantes para conseguir un acceso inicial a los sistemas objetivo, la ejecución de código malicioso o los intentos de ganar persistencia en dichos sistemas. Estas consideraciones deben establecerse en función de los objetivos de cada organización a la hora de plantearse el uso de ATT&CK. Los casos de uso pueden ser distintos y, por tanto, el peso relativo y el tipo de cobertura para tácticas y técnicas, también. Esto es algo que el propio marco no contempla. Para completar este punto, recordar también que algunas evaluaciones requieren que los productos tengan deshabilitadas las funcionalidades de prevención y bloqueo, como ocurrió en el Round 1 que citábamos antes realizado por MITRE. De otra forma, no se habrían podido evaluar las capacidades de detección de los productos. Evolución del modelo En estos momentos, se está a la espera de que MITRE publique los resultados de una segunda evaluación de productos (la llamada Round 2). El número de técnicas y la complejidad inherente al testeo de productos de seguridad hace que este trabajo requiera cada vez de más esfuerzo. Al mismo tiempo, otras empresas de testeo de soluciones de seguridad están también trabajando para adaptar sus tests y mapearse al modelo MITRE y al mismo tiempo emular situaciones reales de ataques, sin las limitaciones expuestas anteriormente. Sin duda, queda mucho camino por recorrer en esta área. “El modelo evolucionará incluyendo también la perspectiva de los defensores y la sistematización de analíticas y formas de prevención, detección y respuesta.” A futuro, esperamos también una mayor atención a otros proyectos interesantes- de la propia MITRE y de otros-, enfocados no solo en el comportamiento de los adversarios, sino en la catalogación de las defensas para detectarlo de forma sistemática, como es el caso del uso de LOLBAS (Living Off the Land Binaries and Scripts). Una compilación de las técnicas LOLBAS está disponible en GitHub. Otro ejemplo, de la propia MITRE, y enfocado también desde la perspectiva de los defensores, es el proyecto Cyber Analytics Repository (CAR): compilando analíticas que pueden ser utilizada por los defensores para detectar ataques, mapeándolas también con la matriz ATT&CK. Por lo tanto, el modelo irá extendiéndose e incluirá la sistematización de las defensas, desde la prevención hasta la detección y la respuesta. 20 preguntas sobre las apps de rastreo de contagios del Covid-19Iniciativa solidaria Covid-19: recargando IFEMA de energía para los enfermos
ElevenPaths ElevenPaths Radio 3×12 – Entrevista a Andrea G. Rodríguez La transformación digital es una realidad a la que cada vez se suman más organizaciones en todo el mundo. En este proceso, la ciberseguridad es una necesidad global, ya...
ElevenPaths Boletín semanal de ciberseguridad 3-9 de abril Campaña de distribución de malware mediante LinkedIn El equipo de investigadores de eSentire ha publicado detalles sobre el análisis de una nueva campaña de distribución de malware a través de...
Mónica Rentero Alonso de Linaje Sí, los cerebros femeninos están programados para la tecnología ¿Está la mente femenina programada para la tecnología? Sí, así, como suena. Esa fue la primera gran pregunta que sonó en mi cabeza en el primer año de carrera....
ElevenPaths ¿De verdad necesito un antivirus? La ciberseguridad es uno de los temas más en boga por su imparable crecimiento y desarrollo, cada vez es más frecuente su presencia en los medios de información, principalmente...
Gonzalo Álvarez Marañón La fiebre por los NFT: la última criptolocura que está arrasando Internet En mayo de 2007, el artista digital conocido como Beeple se propuso crear y publicar una nueva obra de arte en Internet cada día. Fiel a su palabra, produjo...
ElevenPaths Ciberseguridad en tiempos de pandemia, ¿cómo ha afectado el confinamiento a nuestra seguridad digital? La pandemia ha acelerado la transición a una vida digital, y con ello se han disparado los ciberataques contra usuarios y empresas. El ataque más frecuente, y que corresponde...