¿Cuál es la estructura MITRE ATT & CK? Lo que los equipos rojos necesitan saber

08:37 13/09/2021 | 3 Lượt xem

El marco ATT & CK, desarrollado por MITRE Corp., existe desde hace cinco años y es un documento vivo y en crecimiento de tácticas y técnicas de amenazas que se han observado en millones de ataques a redes corporativas. El acrónimo funky significa Tácticas, Técnicas y Conocimientos Comunes Adversarios. Todo comenzó como un proyecto interno y se convirtió en este gigante de una base de conocimiento público que han adquirido varios proveedores y consultores de seguridad. (Más sobre esto en un momento.)

El objetivo de los investigadores de MITRE es desglosar y clasificar los ataques de una manera coherente y clara que pueda facilitar su comparación y contraste para descubrir cómo el atacante explotó sus redes y puntos finales y penetró en su red. Para tener una idea general de lo que es ATT & CK, mire el video corto a continuación, que fue grabado en una conferencia reciente de BSides, donde uno de los desarrolladores, Andy Applebaum, describe sus orígenes y cómo se puede usar en las operaciones diarias. .

Construyendo un Equipo Rojo Efectivo

La integración de un gran equipo rojo en su equipo de operaciones de TI puede resultar útil en varios niveles. Este equipo puede ayudarlo a averiguar si su colección actual de herramientas defensivas es lo suficientemente completa como para identificar y prevenir posibles ataques. Un equipo rojo puede ser una forma de encontrar y corregir brechas en sus firewalls y productos de detección de endpoints. Un gran equipo rojo puede ser un sistema de alerta temprana para encontrar fuentes comunes de ataques y rastrear las técnicas de un oponente.

La primera mitad de la construcción de ese equipo es contratar a las personas adecuadas. Hemos escrito antes en términos generales y otro artículo aquí sobre la contratación de empleados con experiencia. La segunda parte es mucho más difícil: obtener la colección adecuada de herramientas para comprender sus posibles áreas frágiles. Tienes varias opciones:

  • Construyó sus propias herramientas de ataque al estilo del equipo rojo
  • Contrate a un proveedor de servicios de seguridad administrada (MSSP) o consultor para monitorear su red y defensas
  • Reúna una colección de varias técnicas de código abierto y de pago para uso interno.

Cada elección tiene ventajas y desventajas. Crear sus propias herramientas es una excelente manera de obtener lo que necesita, pero puede llevar mucho tiempo y ser costoso. Contratar a un consultor lleva menos tiempo, pero aún así puede terminar costándote mucho dinero a largo plazo. Numerosos consultores de seguridad ofrecen pruebas de penetración de Red Team y herramientas y servicios de monitoreo de seguridad, desde IBM X-Force Red hasta MSSP más pequeños como Network Technology Partners con su servicio de monitoreo administrado ARGISS. Muchas empresas consultoras tienen sus propios marcos o han desarrollado sus propias herramientas como parte de sus áreas de especialización.

Si ninguno de estos caminos es atractivo, probablemente terminará usando el tercer método: una variedad de herramientas de código abierto. Aquí encontrará casi demasiadas opciones. Algunas herramientas se especializan en escenarios de ataque específicos, como los exploits de PowerShell o la herramienta BloodHound, que se utiliza para probar los exploits basados ​​en Active Directory. Son excelentes para lo que ofrecen, pero no son muy completos. Aquí es donde entra en juego el uso de la estructura de calificación ATT & CK.

¿Por qué molestarse con ATT & CK?

A medida que los oponentes se vuelven más hábiles, los defensores también deben mejorar su juego. Al clasificar los ataques en unidades discretas, es más fácil para los investigadores ver patrones comunes, descubrir quién es el autor de diferentes campañas y rastrear cómo ha evolucionado una pieza de malware a lo largo de los años a medida que el autor ha agregado nuevas funciones y métodos de ataque.

Mientras que otras herramientas pueden identificar los valores hash y el comportamiento del malware, ATT & CK es uno de los métodos más completos que puede examinar los componentes reales del malware y desglosarlos en detalle. La mayoría de los programas maliciosos modernos utilizan una combinación de técnicas para ocultar su funcionamiento, preparar sus exploits, evadir la detección y aprovechar las debilidades de la red. Encontrar estos diversos bloques de construcción es una parte clave para defenderse de su traición.

Las cinco matrices de amenazas de ATT & CK

La primera matriz es una colección de “pre-ataques” de 17 categorías diferentes que ayudan a prevenir un ataque antes de que el oponente tenga la oportunidad de ingresar a su red, cuando un atacante está haciendo un reconocimiento de su dominio, por ejemplo. Tres matrices, cada una con una colección para terminales Windows, Mac o Linux que cubren un total de 169 técnicas diferentes. Finalmente, una quinta colección ofrece categorías adicionales para ataques basados ​​en dispositivos móviles.

Cada celda de estas matrices contiene una táctica única, como la autenticación forzada mediante protocolos de bloque de mensajes de servidor (SMB) y cómo un autor de malware puede utilizar esto para acceder a su red. El marco también contiene información sobre malware reciente que usa esta técnica (en este caso Dragonfly), cómo puede detectarlo (monitorear el tráfico SMB en los puertos apropiados) y cómo puede mitigar su abuso (usando filtros de salida para bloquear el tráfico SMB).

Mi breve descripción no hace justicia al esfuerzo de MITRE: si profundiza lo suficiente en ATT & CK, lo encontrará increíblemente rico y detallado, y quizás abrumador. También se puede utilizar para llenar los vacíos en su propio conocimiento sobre las vulnerabilidades y técnicas de malware.

ATT & CK mejorando constantemente

La publicación del blog de ATT & CK describe algunas de estas innovaciones, que incluyen:

  • Combinando las diversas matrices de amenazas en un solo documento coherente (ver el cuadro a continuación)
  • Alojar ATT & CK en una nueva plataforma wiki y facilitar la navegación
  • Desarrollo de una nueva API que puede facilitar la interacción con ATT & CK utilizando esquemas de intercambio de amenazas STIX / TAXII
  • Añadiendo mejores funciones de búsqueda
  • Creación de un comité de gobierno para decidir sobre futuras mejoras, especialmente a medida que más proveedores de seguridad privada comienzan a ofrecer mejoras y herramientas basadas en ATT & CK.
marco marco combinado ingletes attck INGLETE

MITRE también utiliza el modelo de amenazas ATT & CK para probar varios productos de prevención y detección de endpoints. La primera ronda fue una emulación del oponente APT3 / Gothic Panda.

ATT & CK integrado con VERIS

Un desarrollo reciente es un proyecto para crear una capa de mapeo y traducción entre el vocabulario de Verizon para la grabación de eventos y el intercambio de incidentes (VERIS) y ATT & CK. VERIS es un conjunto de métricas que proporcionan un lenguaje común para describir los incidentes de seguridad de forma estructurada. Se utiliza en los informes de investigación de violación de datos de Verizon para clasificar incidentes.

El propósito de la integración es permitir el análisis de incidentes que combina la información del comportamiento del adversario que describe ATT & CK con los datos demográficos y los metadatos de VERIS. “El mapeo resultante entre VERIS y ATT & CK permitirá a los defensores cibernéticos crear una imagen más completa y detallada de los incidentes cibernéticos, incluido el actor de amenazas, el comportamiento técnico, los activos específicos y el impacto”, escribió Jon Baker, director de investigación y desarrollo de MITRE. Engenuity y Richard Struse, director del MITRE Engenuity Center for Threat-Informed Defense, en una publicación de blog.

El mapeo VERIS / ATT & CK está disponible en GitHub.

Proyectos de ATT y CK de terceros

El verdadero genio de ATT & CK es cómo otros han adoptado y ampliado sus capacidades. Aquí hay algunas referencias a proyectos de terceros en curso:

Todas las herramientas anteriores son proyectos gratuitos y de código abierto. Otra herramienta no gratuita, llamada AttackIQ FireDrill, puede crear secuencias de comandos de interacciones más complejas para evaluar los riesgos y las vulnerabilidades de la red.

Cada herramienta adopta un enfoque ligeramente diferente para interactuar con ATT & CK, y planeamos hacer una revisión comparativa en un futuro cercano que mostrará sus diferencias, cómo están configuradas y bajo qué circunstancias son más útiles. Por ejemplo, el manual de Palo Alto solo es relevante para explorar el malware OilRig, pero hace referencia a más de 100 indicadores diferentes que cubren 19 técnicas diferentes de ATT y CK, que muestran exactamente cuán complejo es el malware. Si está interesado en desarrollar las capacidades de su equipo rojo, consulte lo que ha preparado MITRE.

Copyright © 2021 IDG Communications, Inc.

Related Posts

Agregar fondos a archivos PDF

Este artículo explicará cómo agregar un fondo a un PDF con Foxit PDF Editor. Para agregar un nuevo fondo, haga lo siguiente: 1. Abra un documento al que desee agregar un fondo y elija...

lên đầu trang