Por qué entender el comportamiento y las herramientas de los ciberdelincuentes es vital


El panorama de los ataques continúa creciendo rápidamente, y con ese crecimiento viene el complejo desafío de hacer un seguimiento de las Tácticas, Técnicas y Procedimientos (TTPs) utilizados por diferentes actores de amenazas. El Centro de recursos de seguridad informática del Instituto Nacional de Estándares y Tecnología (National Institute of Standards and Technology, NIST) describe los TTPs como el comportamiento de un actor de amenazas. 

El seguimiento de ese comportamiento se ha convertido en un concepto esencial para los analistas de Inteligencia sobre amenazas cibernéticas (Cyber ​​Threat Intelligence, CTI). 

Al perfilar y documentar los TTPs de los delincuentes, los defensores de la red pueden comprender mejor el comportamiento delictivo y cómo se orquestan los ataques específicos, lo que les permite prepararse, responder y mitigar las amenazas actuales y futuras.

Definición de Tácticas, Técnicas y Procedimientos

Para analizar mejor los TTPs, las Tácticas se refieren a las descripciones de alto nivel del comportamiento o acción que el actor de la amenaza está tratando de lograr. Por ejemplo, el acceso inicial es una táctica que el actor de una amenaza aprovecharía para obtener un punto de apoyo para entrar en tu red.

Las Técnicas son descripciones detalladas del comportamiento o las acciones que se esperan de una táctica específica. Por ejemplo, una técnica para lograr acceso inicial a una red podría incluir un ataque de suplantación de identidad (phishing).

Los Procedimientos son los detalles o las instrucciones técnicas de cómo el actor de la amenaza aprovechará la técnica para lograr su objetivo. Por ejemplo, los procedimientos para un ataque de phishing incluirían el orden de la operación o fases de la campaña. Esto incluiría detalles sobre la infraestructura aprovechada para enviar el correo electrónico malicioso, a quién tienen como objetivo y cómo planean comprometer su máquina.

Desafortunadamente, seguir los comportamientos de los actores de amenazas ha sido un desafío complejo para nuestra industria, principalmente porque no teníamos un marco estandarizado único y universalmente adoptado al cual adherirnos. 

Como mencioné en la parte 1 de nuestra serie Hackers Almanac, según la organización de seguridad que se atribuye un ataque digital, un grupo de amenazas conocido como APT10 por Mandiant también se conoce como: menuPass por Fireeye, Stone Panda por Crowdstrike o Red Apollo, Cloud Hopper y POTASSIUM por Microsoft. Esto hace que documentar, informar y hablar sobre los actores de amenazas sea extremadamente difícil.

Afortunadamente, en los últimos años, la industria ha comenzado a adoptar ampliamente el marco empresarial ATT&CK de MITRE; que tiene como objetivo proporcionar una estandarización basada en la comunidad y un catálogo de los TTPs utilizados por los actores de amenazas y sus apodos conocidos.

¿Qué es ATT&CK de MITRE?

El marco empresarial ATT&CK de MITRE es una base de conocimientos abierta y disponible que contiene las tácticas y técnicas de los adversarios basadas en observaciones reales. La Corporación MITRE desarrolló un marco de trabajo, es una organización sin fines de lucro que gestiona los Centros de investigación y desarrollo financiados con fondos federales (Federally Funded Research and Development Centers, FFRDC) que apoyan al gobierno de los Estados Unidos. Con los años, el marco de trabajo ATT&CK de MITRE se ha convertido en un recurso valioso para las empresas de todo el mundo que quieren comprender mejor las amenazas específicas que enfrentan.

El marco empresarial ATT&CK de MITRE rastrea las amenazas de los adversarios y las perfila en un formato de visualización simple que detalla las acciones que los adversarios pueden realizar para comprometer tu red empresarial. El marco de trabajo ATT&CK de MITRE proporciona una lista exhaustiva de las técnicas de ataques conocidas organizadas en 14 categorías de tácticas diferentes, que van desde el Reconocimiento hasta el Impacto.

ATT&CK de MITRE

[¿Te gusta esta publicación? Subscríbete ahora para recibir el contenido más reciente de Radware en tu bandeja de entrada todas las semanas, además de acceso exclusivo al contenido Premium de Radware].

Este marco de trabajo se actualiza constantemente para realizar auditorías y mejorar sus políticas defensivas y métodos de detección. El marco de trabajo ATT&CK de MITRE también proporciona un lenguaje común en todas las industrias. Incorporar la estructura y las convenciones de nombres utilizadas en la matriz de ATT&CK de MITRE en la política de seguridad ayuda a habilitar un lenguaje común en toda la organización y la industria, lo que facilita documentar, informar y hablar sobre grupos de amenazas.

ATT&CK – Controles de seguridad nativos de la Plataforma Azure

En junio, en colaboración con el Centro de Defensa Informada sobre Amenazas (Center for Threat-Informed Defense, CTID) de MITRE, Microsoft lanzó una matriz de asignación de los controles de seguridad nativos de la plataforma Azure al marco de trabajo ATT&CK de MITRE. El marco de pila de seguridad de Azure es el primero en su tipo, que asigna los controles de seguridad de los productos Azure al marco empresarial ATT&CK y establece las bases para que otros lo sigan. Y, como se informó en una entrada en un blog reciente de MITRE Engenuity, la próxima plataforma que lanzará una asignación en colaboración con MITRE es Amazon Web Services (AWS).

[También puede interesarte: Consistent Security Meets Continuous Deployment on Azure]

El marco de pila de seguridad de Microsoft para Azure para los controles de seguridad nativos asigna los TTPs originales cubiertos en el marco empresarial ATT&CK de MITRE, lo que proporciona a los defensores de la red recursos específicos para la plataforma Azure. Esto permite que los defensores de la red se preparen, respondan y mitiguen las amenazas actuales y futuras al entorno de Azure. En nuestro ejemplo anterior de acceso inicial a través del phishing, cuando se aplica a la asignación de la pila de seguridad de Microsoft para Azure, sugiere que los usuarios aprovechen: Azure DNS Analytics, Azure Defender para App Services y Microsoft Anti-Malware para Azure para un nivel mínimo de detección y protección contra este vector de ataque.

Asignación de la pila de seguridad de Microsoft para Azure

La asignación de los controles de seguridad de los productos al marco de trabajo ATT&CK de MITRE para brindar a las organizaciones la capacidad de evaluar su cobertura contra los TTPs de actores de amenazas del mundo real es precisamente lo que esta industria necesita en este momento. Sin embargo, como se aborda en el blog MITRE Engenuity, la tarea de mapear una pila de seguridad al marco empresarial de MITRE es subjetiva y requiere mucha mano de obra, dada la naturaleza de un panorama de amenazas en constante evolución. Independientemente de las dificultades para producir tales mapas, creo que la industria se mueve rápidamente para adoptar y asignar sus pilas de seguridad al marco de trabajo empresarial ATT&CK de MITRE. Estos tipos de proyectos de colaboración y públicos posibilitan un lenguaje común en toda la industria, y crean un concepto básico para que los defensores de la red documenten los informes y hablen sobre las amenazas específicas a los productos.

Por qué comprender el panorama de amenazas es importante

Las amenazas, en la actualidad, sin duda, requieren soluciones del espectro total, pero también necesitan un conocimiento profundo del panorama de amenazas. Una de las mejores formas de mantenerse al tanto del panorama de amenazas en constante evolución es estudiar y contribuir a la estandarización de la inteligencia de amenazas. Al analizar y perfilar los patrones de los actores de amenazas y compartirlos con la comunidad, podemos comprender mejor el comportamiento de los delincuentes y cómo orquestan los ataques específicos. Una comprensión más profunda de los TTPs de los ciberdelincuentes ayudará a la comunidad y a las organizaciones a comprender como prepararse, responder y mitigar la mayoría de las amenazas.

Una vez que empieces a comprender los TTPs de tus enemigos, podrás asignarlos a tu pila de seguridad específica. Esto permite a los usuarios la capacidad de fortalecer, detectar, aislar, engañar y desalojar a los TTPs de los actores de amenazas para que no tengan como objetivo tu entorno particular.

Descarga la Serie 1 de Hacker’s Almanac de Radware 2021.

Daniel Smith

Daniel Smith

Daniel is the Head of Research for Radware’s Threat Intelligence division. He helps produce actionable intelligence to protect against botnet-related threats by working behind the scenes to identify network and application-based vulnerabilities. Daniel brings over ten years of experience to the Radware Threat Intelligence division. Before joining, Daniel was a member of Radware’s Emergency Response Team (ERT-SOC), where he applied his unique expertise and intimate knowledge of threat actors’ tactics, techniques, and procedures to help develop signatures and mitigate attacks proactively for customers.

Related Articles

Contact Radware Sales

Our experts will answer your questions, assess your needs, and help you understand which products are best for your business.

Already a Customer?

We’re ready to help, whether you need support, additional services, or answers to your questions about our products and solutions.

Locations
Get Answers Now from KnowledgeBase
Get Free Online Product Training
Engage with Radware Technical Support
Join the Radware Customer Program

Get Social

Connect with experts and join the conversation about Radware technologies.

Blog
Security Research Center
CyberPedia