Cómo MITER ATT & CK puede ayudarlo a defenderse contra las amenazas persistentes avanzadas (APT).

March 16, 2020

Lasempresas modernas se enfrentan a constantes ciber amenazas. Loshackers de sombrero negrono dan señales de que se detengan. Nuevas técnicas de pirateríaaparecen regularmente. La detecciónde amenazas persistentes avanzadas (APT) es una misión desafiante, ya que los objetivosde estos ataques son permanecer sin ser detectados durante muchotiempo y robar datos,en lugar de dañar los sistemas.

  • ¿Qué es unaamenaza?
  • ¿Qué es una amenaza persistenteavanzada?
  • La cadena de asesinatoscibernéticos
  • Cómo MITER ATT & CK puede ayudarlo a defenderse contra las amenazaspersistentes avanzadas.

¿Qué es una amenaza?

Antesde sumergirse en el marco MITER ATT & CK, exploremos algunasterminologías importantes.Por definición, una amenaza es un peligro potencial para nuestrosactivos que podríadañar los sistemas. Para los profesionales de seguridad, yespecialmente para los administradoresde riesgos, las amenazas juegan un papel muy importante en elanálisis de riesgos.Hay muchas categorías de amenazas en la naturaleza, tales como:software malicioso comoSecuestros de datos denegación de servicio distribuida (DDoS),ataques a la red, hazañas Dedía cero, manipulación de datos, APT, etc. Acuerdo a TechRadarePro,el costo promedio del ataquecibernético ahora supera los $ 1.6 millones. Por lo tanto, si noestá bien preparado, un ataquecibernético exitoso contra su empresa dañará su negocio.

¿Qué es una amenaza persistente avanzada (APT)?

Para proteger su organización, necesita conocer a sus enemigos y, como SunTzu en su libro "El arte de la guerra", dijo: “Si conoces al enemigo y a ti mismo, no debes temer el resultado de cien batallas. Si te conoces a ti mismo pero no al enemigo, por cada victoria obtenida también sufrirás una derrota. Si no conoces al enemigo ni a ti mismo, sucumbirás en cada batalla. TechTarget define amenazas persistentes avanzadas de la siguiente manera: “Una amenaza persistente avanzada (APT) es un ataque cibernético prolongado y selectivo en el que un intruso obtiene acceso a una red y permanece sin ser detectado por un período de tiempo. La intención de un ataque APT suele ser monitorear la actividad de la red y robar datos en lugar de causar daños a la red u organización”. Para descubrir más sobre los grupos APT más peligrosos, puede explorar este gran recurso: https://attack.mitre.org/groups

También puede consultar el "Mapa deactores de amenazas" para obtener más detalles y referenciassobre grupos APT: https://aptmap.netlify.com/#Union%20Panda

Cadena de Asesinato Cibernético:

La cadena de asesinato cibernético es un modelo de inspiración militar para describir los pasos utilizados por los piratas informáticos y los adversarios en un ataque cibernético. Fue desarrollado por Lockheed Martin. El modelo sigue los siguientes pasos:

Reconocimiento: en esta fase, los atacantes recopilan la mayor cantidad de información posible sobre el objetivo de diferentes fuentes porque no puedes atacar lo que no sabes.

Armamento: en esta fase, los atacantes preparan su ataque generando piezas de malware, por ejemplo, y armando cargas útiles.

Entrega: en esta fase, los atacantes envían el malware utilizando diferentes canales como correos electrónicos, USB, etc.

Explotación: en esta fase, los atacantes obtienen acceso a los sistemas.

Comando y control (C2): canal de comando para la manipulación remota de la víctima.

Instalación: en esta fase, los atacantes instalan un implante o una puerta trasera para garantizar la persistencia.

Acciones y objetivos: en esta fase los atacantes logran los objetivos de la misión.

El siguiente gráfico ilustra los diferentes pasos de la cadena de. Matanza Cibernética:

Imagende cortesía: lockheedmartin.com

Marco MITRE ATTyCK:

Según la corporación MITRE, MITRE ATT & CK® es una base de conocimiento accesible a nivelmundial de tácticas y técnicas adversas basadas en observaciones del mundo real. La base de conocimiento ATT & CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciber seguridad.

El marco proporciona cuatro matrices:

  1. PRE-ATAQUE
  2. EMPRESA
  3. MÓVIL
  4. ICS (Sistemas de control industrial)

La siguiente matriz es un fragmento de la "matriz de la empresa":

Puede encontrar la matriz completa aquí:
https://attack.mitre.org/matrices/enterprise/

Como puede observar, contiene 12 tácticas:

  1. Accesoinicial
  2. Ejecución
  3. Persistencia
  4. Escalada deprivilegios
  5. Evasión dedefensa
  6. Acceso a credenciales
  7. Descubrimiento
  8. Movimientolateral
  9. Colección
  10. Comando ycontrol
  11. Ex filtración
  12. Impacto

Pero, qué queremos decir con.TácticasyTécnicas?

La pirámide del dolor muestra la relación entre los tipos de indicadores encontrados cuando se trata con adversarios. Por indicadores, me refiero a valores de hash, direcciones IP, nombres de dominio, artefactos de red / host, herramientas y tácticas, técnicas y procedimientos (TTP). Las tácticas, técnicas y procedimientos (TTP) son cómo los atacantes van a lograr su misión. Una táctica es el nivel más alto de comportamiento de ataque.

El siguiente gráfico ilustra la pirámide del dolor:

Imagen De Cortesía: carbonblack.com

Por ejemplo, una de las técnicas es "Compromiso de conducción":

Por ahora, hemos adquirido una comprensión justa del marco MITER ATT & CK.Este marco es un recurso poderoso para ayudar a su equipo de seguridad a defendersede los APT. Al estudiar las tácticas y técnicas utilizadas por las amenazas persistentes avanzadas, puede planificar sus salvaguardas y estará más preparado para proteger su organización. Tomemos por ejemplo APT37. De acuerdo con https://attack.mitre.org/groups/:

"APT37 es un presunto grupo de ciber espionaje de Corea del Norte que ha estado activodesde al menos 2012. El grupo ha apuntado a víctimas principalmente en Corea del Sur, perotambién en Japón, Vietnam, Rusia, Nepal, China, India, Rumania, Kuwait y otros partes del Medio Oriente. APT37 también se ha relacionado con las siguientes campañas entre 2016-2018: Operation Day break, Operation Erebus, Golden Time, Evil New Year, Are you Happy?, Free Milk, Northern Korean Human Rights y Evil New Year 2018”.

Puede encontrar más información sobre APT37 aquí: https://attack.mitre.org/groups/G0067/

Una vez que recopile información sobre el APT, puede usar el navegador MITER ATT&CK para resaltar las técnicas utilizadas:

Incluso puede exportar una versión svg del estilo matriz:

Si desea obtener más información sobre las técnicas utilizadas en los APT, también puede consultar el repositorio de Ciber Analítico de MITRE y la herramienta de exploración CAR (CARET)

Ahora puede comenzar a implementar y planificar las mitigaciones y salvaguardas necesarias en función de algunas métricas de clasificación. La matriz MITER Enterprise Mitigación puede ser una buena referencia para seguir como un comienzo.

References y Créditos:

  1. Cadena de asesinato cibernético: https://www.lockheedmartin.com/en-us/capabilities/cyber/cyber-kill-chain.html
  2. ¿Qué son las amenazas persistentes avanzadas? https://searchsecurity.techtarget.com/definition/advanced-persistent-threat-APT
  3. https://attack.mitre.org
  4. Usando MITER ATT & CK para defenderse de las amenazas persistentes avanzadas: https://www.peerlyst.com/posts/using-mitre-att-and-ck-to-defend-against-advanced-persistent-threats-chiheb-chebbi?trk=search_page_search_result