Por Antonio Ramón Asu Akogo Maye
- Alumno de la 11ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.
- Director Adjunto del Departamento de Seguridad Informática del Banco Nacional de Guinea Ecuatorial
Por Antonio Ramón Asu Akogo Maye
- Alumno de la 11ª edición del Máster en Ciberseguridad del Campus Internacional de Ciberseguridad.
- Director Adjunto del Departamento de Seguridad Informática del Banco Nacional de Guinea Ecuatorial
El plan de seguridad de la mayor parte de las organizaciones está basado en un SGSI del ISO27001, esquema nacional de seguridad, gestión de riesgos, conformidad con las leyes locales o regulaciones locales y regionales: RGPD, etc.
Sin embargo, estos estándares no siempre son suficientes para proteger a las organizaciones de los ciberataques. El marco mitre ATT&CK es una potente herramienta que puede ayudar a las organizaciones, en el ciclo de gestión de riesgos, a reducir la probabilidad de sufrir un ciberataque.
Técnicas, tácticas y procedimientos (TTPS) de ATT&CK de MITRE y su aplicación para la defensa de organizaciones
¿Qué es MITRE ATT&CK?
Es una base de conocimiento de técnicas, tácticas y procedimientos empleados por los ciberdelincuentes en los últimos años. Por tanto, es un narco que nos ayuda entender cómo actúan los adversarios para comprometer la seguridad de nuestra organización e idear las contramedidas, controles y mitigaciones que debemos implementar de manera preventiva, activa y reactiva.
La herramienta principal de este marco es la matriz Mitre, cuya estructura se distribuye entre tácticas, técnicas, sub-técnicas, procedimientos, Grupos reconocidos y las mitigaciones.
- Las Tácticas serían como el objeto o finalidad de un ataque.
- las Técnicas y subtécnicas serían los distintos caminos posibles para llegar a la meta.
- Los Procedimientos serían el modo operativo de casos reales de grupos de ciberdelincuentes que han seguido dichas técnicas para comprometer la seguridad de organizaciones.
Mitre define tres tipos de matrices según el entorno: la matriz Enterprise, la móvil y la ICS.
Matriz ATT &CK Enterprise – En rojo están tácticas y en azul las técnicas
Aplicaciones de Mitre ATT&CK
Una posible aplicación sería integrarlo en el ciclo de vida de gestión de riesgos en la seguridad de información, en la identificación y análisis de riesgos:
- Una mejor comprensión o conocimiento de las tácticas, técnicas y procedimientos utilizados por los adversarios, permitiría tener bien encarrilado la identificación de posibles amenazas.
- Dado que Mitre ATT&CK proporciona las mitigaciones por cada técnica, se podría identificar las vulnerabilidades a las que estamos expuestos y tomar una decisión inmediata para la remediación.
- A partir de la base de conocimiento de ataques, podemos establecer controles de seguridad más efectivos y sistemas de detección con herramientas como HIDS, SIEM, etc. Este tipo de soluciones son capaces de detectar en tiempo real tentativas o intrusiones basados en el marco Mitre ATT&CK y están sirviendo de mucha ayuda a los equipos de blue team como el SOC y el CERT.
¿Qué es MITRE Shield?
El marco Shield de Mitre, que actualmente se llama Mitre Engage, es una cultura de ciberseguridad basada en actividades que promueven la participación del adversario y obtener de él nuevas técnicas de ataque. Cuando un adversario emprende una acción de la matriz ATT&Ck, sea una táctica o una técnica, genera una vulnerabilidad en el equipo de defensa, que puede usar para obtener información.
Mitre Engage también dispone de una matriz guía para poder llevar a cabo operaciones de comprometer al adversario.
Las empresas maduras en seguridad apuestan cada vez más en crear entornos de engaño, señuelos, para atraer al adversario y observar su comportamiento. De aquí a nada, quien no apueste por ese nuevo enfoque se quedará obsoleto y su nivel de seguridad siempre estará en niveles bajos porque con el potente crecimiento de la IA, los ataques serán cada vez más sofisticados.
Conclusiones
Estimado lector, si quieres mejorar la seguridad de tu organización, no hay mejor comienzo que una buena comprensión de los ataques y un mapeo de ambas matrices sobre tu organización para identificar las mitigaciones necesarias y los controles de seguridad a implementar.
Si quieres ver el proyecto completo de Antonio Ramón, rellena el formulario y te lo mandamos a tu correo electrónico.