- Data Design & Technology SASE-SDWAN Engineer en Telefónica
- Alumno de la 10ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.
- Data Design & Technology SASE-SDWAN Engineer en Telefónica
- Alumno de la 10ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.
A lo largo de mis 15 años en el mundillo de IT (Information Technology) siempre he escuchado y leído, a alto nivel, sobre ATT&CK de MITRE y por el contrario, no tenía conocimiento sobre Shield (actualmente Engage) de MITRE. Debo admitir que luego de ver y analizar las distintas opciones propuestas por el claustro, me decidí rápidamente por este proyecto propuesto por Chema Alonso y tutorizado por Pablo González con el objetivo de poder focalizar en este framework y poder generar mi humilde guía de buenas prácticas.
Estudio sobre Técnicas, Tácticas y Procedimientos (TTPS) de ATT&CK de MITRE y su aplicación para la defensa de Organizaciones
Si te dedicas a la seguridad informática, posiblemente habrás escuchado del framework ATT&CK, cuyo primer modelo fue lanzado en 2013 y que estaba enfocado en aquel momento a entornos de Microsoft Windows. Con el paso de los años, este framework fue evolucionando y ampliando su uso a otros sistemas operativos, añadiendo también ambientes corporativos on-premise, de nube, etc.
ATT&CK de MITRE incluye Técnicas, Tácticas y Procedimientos (TTPs) que suelen utilizar los ciberatacantes para comprometer algún sistema informático (por ejemplo un recurso web, una base de datos, un servidor, etc.). MITRE Shield, a diferencia de ATT&CK tiene menos tiempo de vida, ya que fue lanzado en 2021 y captura contramedidas para protegernos contra los ciberatacantes.
Al analizar estos 2 marcos de referencia, ATT&CK y Shield, contrapuestos y a la vez complementarios pude mapear los TTPs vs las contramedidas que nos ofrece Shield. Podríamos decir que MITRE ATT&CK es nuestro marco aplicable a Red Team (Seguridad Ofensiva), a MITRE Shield parte de Blue Team (Seguridad Defensiva) y podríamos concluir que ambos frameworks podrían ser parte de nuestro equipo de Purple Team, equipo que buscará maximizar la efectividad del Red Team y el Blue Team.
¿Este mapeo entre ATT&CK y Shield es suficiente para protegernos contra los ciberatacantes? Definitivamente no, aunque la comparación entre frameworks es beneficiosa, adquiere más valor si aplicamos contramedidas, controles, etc. en algún ámbito de actuación. En mi caso he elegido el mundo cloud.
Sólo por nombrar algunas contramedidas que podrán ser interesantes para el lector:
- Si tenemos aplicaciones expuestas a internet en nubes públicas, tenemos que saber que serán objeto de múltiples atacantes e intentos para comprometer su disponibilidad. Cómo podríamos proteger nuestra aplicación? Desplegar un WAF nativo cloud nos ofrecerá protección contra los compromisos no autorizados mediante el bloqueo del tráfico malicioso web. La mayoría de los firewalls de aplicación web nos permiten aplicar varias contramedidas e inclusive ofrecen protección contra OWASP Top 10 (Documento que nuclea los diez riesgos de seguridad más importantes en aplicaciones web según la Fundación OWASP). Actualmente este servicio de WAF se ofrece en la mayoría de los CSP (Cloud Service Provider).
- Otro ejemplo que podría ayudarnos en nuestro camino a ser más ciberseguros, podría ser la habilitación de MFA (Multi-Factor Authenticator). Las tres categorías más comunes, se describen como algo que conocemos, algo que tenemos y algo que somos. MFA combina dos o más factores de estas categorías. Aplicando esta contramedida por ejemplo usuario + password (algo que conocemos) + nuestra huella dactilar (algo que somos), estaríamos reforzando el acceso a nuestro ambiente de nube, protegiéndolo contra el uso indebido.
He empezado a interactuar con entornos de nube hace unos 3 años aproximadamente, Azure y luego AWS. Sin embargo, no me había detenido a contrastar mis despliegues (por ejemplo migración de máquinas virtuales on-premise → cloud. Diría que este es el primer paso que damos casi todos cuándo iniciamos nuestra aventura en nubes públicas) contra algún marco de referencia y debo decir que este TFM (y el Máster en Ciberseguridad por supuesto) me permitieron evolucionar profesionalmente y tener en consideración aspectos que antes era transparentes para mí.
Si quieres ver el proyecto completo de Mauricio, rellena el formulario y te lo mandamos a tu correo electrónico.
¿Quieres obtener el mismo conocimiento que Mauricio?