Interpretación y evolución de MITRE ATT&CK: más cobertura “horizontal” no significa mejor protecciónEquipo de Cytomic, unit of Panda Security 29 abril, 2020 La matriz MITRE ATT&CK se ha convertido en el estándar de clasificación de los posibles comportamientos de los adversarios. Su popularidad no ha hecho más que crecer en los dos últimos años. Las ventajas de este marco para los fabricantes son evidentes: ahora pueden, mapear, adaptar y mejorar sus capacidades de detección. Los beneficios para otros actores en ciberseguridad también son claros, como los Red Teams, que ahora pueden emular mejor la actividad de los adversarios; o para gestores de la ciberseguridad, que pueden evaluar mejor y de forma más sistemática sus defensas e identificar lagunas. ATT&CK es una base de datos de gran tamaño que sirve para identificar tácticas comunes, técnicas y procedimientos (TTPs por sus siglas en inglés) que las amenazas persistentes avanzadas utilizan contra plataformas informáticas. Ahora MITRE incorpora importantes cambios en su Matriz ATT&CK. El pasado 31 de marzo, como evolución del modelo y parte de su roadmap para este año, MITRE publicaba la versión beta de la nueva matriz. Nuevas técnicas, algunas otras descontinuadas, cambios en los nombres y descripciones y quizás el cambio más novedoso: la introducción de sub-técnicas, que añaden un nivel más a la estructura de la matriz. De esta manera, pasamos a contar con tácticas, técnicas, sub-técnicas y procedimientos. En total más de 340 técnicas y subtécnicas mapeadas en las 12 tácticas que conforman las columnas de la matriz. Un esfuerzo titánico por parte de MITRE, que con esta actualización permite contar con la catalogación más completa y sistemática del comportamiento de los ciberatacantes hasta la fecha. Figura 1. Ejemplo de técnicas agrupando varias sub-técnicas en la nueva versión de la matriz MITRE ATT&CK, en beta Utilización de MITRE ATT&CK en la evaluación de productos de seguridad A pesar de la gran mejora que esta iniciativa ha supuesto, existe cierto grado de confusión respecto a la interpretación de la aplicación del modelo, sobre todo a la hora de evaluar soluciones de seguridad. “Las evaluaciones en base a ATT&CK deben definir el tipo de cobertura a medir, según los objetivos de cada evaluación. Más cobertura “horizontal” no significa mejor protección.” En primer lugar, y tras la publicación de los resultados de la primera evaluación de producto de tipo EDR realizada por MITRE en 2018 (la llamada Round 1), algunos participantes -no MITRE-, trataron de equiparar el grado de cobertura de detección de las técnicas con una mayor calidad o efectividad de protección. La propia MITRE señala que ATT&CK documenta el comportamiento conocido de los adversarios y no intenta ser un checklist de las cosas que deben chequeadas. No todos esos comportamientos pueden o deben ser utilizados como base para enviar alertas o datos a un analista. Sin embargo, resulta tentador para un fabricante mostrar gráficas representando un mayor grado de cobertura de las técnicas de la matriz, independientemente de la táctica a la que pertenezcan. Por tanto, el concepto de cobertura puede ser engañoso. Las técnicas -y ahora, también las sub-técnicas- pueden implementarse de muchas formas cambiantes -procedimientos- por parte de los atacantes, y es muy difícil conocerlas todas a priori. El resultado puede ser distinto si se evalúa uno u otro procedimiento, para una misma técnica y producto. En un estudio publicado por OPTIV en 2019, ya pudimos comprobar el diferente comportamiento de varios productos de seguridad, testeando varios procedimientos para una misma técnica vs testeando uno solo -referencia-. Por lo tanto, mayor cobertura horizontal no significa necesariamente “mejor” producto. De hecho, no todas las tácticas pueden tener el mismo peso o importancia para una organización evaluando un producto determinado. Por ejemplo, si se está evaluando, la capacidad real de protección (incluyendo la prevención), entonces convendrá prestar especial atención a una cobertura más profunda, de más procedimientos, para las tácticas “más a la izquierda” en la matriz; de forma que se bloqueen los intentos de los atacantes para conseguir un acceso inicial a los sistemas objetivo, la ejecución de código malicioso o los intentos de ganar persistencia en dichos sistemas. Estas consideraciones deben establecerse en función de los objetivos de cada organización a la hora de plantearse el uso de ATT&CK. Los casos de uso pueden ser distintos y, por tanto, el peso relativo y el tipo de cobertura para tácticas y técnicas, también. Esto es algo que el propio marco no contempla. Para completar este punto, recordar también que algunas evaluaciones requieren que los productos tengan deshabilitadas las funcionalidades de prevención y bloqueo, como ocurrió en el Round 1 que citábamos antes realizado por MITRE. De otra forma, no se habrían podido evaluar las capacidades de detección de los productos. Evolución del modelo En estos momentos, se está a la espera de que MITRE publique los resultados de una segunda evaluación de productos (la llamada Round 2). El número de técnicas y la complejidad inherente al testeo de productos de seguridad hace que este trabajo requiera cada vez de más esfuerzo. Al mismo tiempo, otras empresas de testeo de soluciones de seguridad están también trabajando para adaptar sus tests y mapearse al modelo MITRE y al mismo tiempo emular situaciones reales de ataques, sin las limitaciones expuestas anteriormente. Sin duda, queda mucho camino por recorrer en esta área. “El modelo evolucionará incluyendo también la perspectiva de los defensores y la sistematización de analíticas y formas de prevención, detección y respuesta.” A futuro, esperamos también una mayor atención a otros proyectos interesantes- de la propia MITRE y de otros-, enfocados no solo en el comportamiento de los adversarios, sino en la catalogación de las defensas para detectarlo de forma sistemática, como es el caso del uso de LOLBAS (Living Off the Land Binaries and Scripts). Una compilación de las técnicas LOLBAS está disponible en GitHub. Otro ejemplo, de la propia MITRE, y enfocado también desde la perspectiva de los defensores, es el proyecto Cyber Analytics Repository (CAR): compilando analíticas que pueden ser utilizada por los defensores para detectar ataques, mapeándolas también con la matriz ATT&CK. Por lo tanto, el modelo irá extendiéndose e incluirá la sistematización de las defensas, desde la prevención hasta la detección y la respuesta. 20 preguntas sobre las apps de rastreo de contagios del Covid-19Iniciativa solidaria Covid-19: recargando IFEMA de energía para los enfermos
Telefónica Tech Boletín semanal de ciberseguridad, 7—13 de mayo Vulnerabilidad en BIG-IP explotada para el borrado de información El pasado 4 de mayo F5 corregía entre otras, una vulnerabilidad que afectaba a dispositivos BIG-IP (CVE-2022-1388 CVSSv3 9.8), que podría...
Juan Elosua Tomé Shadow: tecnología de protección contra filtraciones de documentos Shadow, de Telefónica Tech, es una tecnología que permite identificar el origen de una fuga de información como la sucedida recientemente en EE UU
David García El nuevo final de las contraseñas Password, contraseña, clave, frase de paso… ¿Cuántos puedes recordar si no usas un gestor de contraseñas? Es más ¿Usas un gestor?
Marta Mª Padilla Foubelo Dark Markets, el concepto de mercado negro en la Internet actual ¿Que son los Dark Markets o Black Markets? Basta con traducirlo para hacernos una idea: es el mercado negro que también existe en internet
Telefónica Tech Boletín semanal de ciberseguridad, 30 de abril — 6 de mayo TLStorm 2 – Vulnerabilidades en conmutadores Aruba y Avaya Investigadores de Armis han descubierto cinco vulnerabilidades en la implementación de comunicaciones TLS en múltiples modelos de conmutadores de Aruba y...
David García Breve e incompleta historia de las contraseñas, aliados y enemigos (I) Mucho se ha hablado (y se seguirá haciendo) de las contraseñas. Una «tecnología» con demasiados defectos y primitiva. Podríamos calificarla de eslabón débil con el permiso de las «preguntas de...
