Adversary Emulation Library publicada por Mitre

Facebooktwitterlinkedinmail

A principios de este mes MITRE Engenuity’s Center for Threat-Informed Defense hizo pública una de sus grandes iniciativas en el mundo de la cyberseguridad, la Adversary Emulation Library, una librería pública donde compartirán planes para la simulación de adversarios.

Podéis acceder a ella mediante el siguiente enlace: https://github.com/center-for-threat-informed-defense/adversary_emulation_library

Esta nueva contribución por parte de Mitre servirá para ayudar sobre todo a equipos de Red Team y Purple Team a realizar pruebas a las defensas basándose en tácticas, técnicas y procedimientos del mundo real.

Leer más

ATT&CK para AWS

Facebooktwitterlinkedinmail

En esta entrada vamos a ver como la matriz de MITRE ATT&CK para AWS puede ayudarnos a representar mejor nuestra capacidad de detección.

Como también pasa en las infraestructuras clásicas, la prevención está muy bien y es fundamental pero la detección se ha convertido en algo esencial. Hemos asumido ya que tenemos que orientar nuestra defensa no solo a prevenir sino a detectar y además debemos presuponer que nuestra infraestructura en un momento u otro será comprometida.

Es por esto que teniendo en mente este foco de detección uno de los frameworks que más nos pueden ayudar a decidir qué tenemos que detectar, como vimos en la pasada entrada MITRE ATT&CK, defiende teniendo en cuenta las tácticas y técnicas del adversario, es MITRE ATT&CK.

Como MITRE ATT&CK se basa en observaciones reales podemos usar esta matriz para evaluar nuestra seguridad actual. Esto lo podemos hacer asignando un nivel de madurez a cada una de las técnicas y verificando para cada una de ellas en que nivel de madurez se encuentra nuestra infraestructura. John Hubbard presentó en el SANS Summit los siguientes niveles de madurez:

1. No hay detección
2. Registrado localmente
3. Registrado centralmente
4. Registro enriquecido / correlacionado
5. Reporte / Visualización
6. Experimental / Detección funcional
7. Detección de alta fidelidad

Leer más

MITRE ATT&CK, defiende teniendo en cuenta las tácticas y técnicas del adversario

Facebooktwitterlinkedinmail

En esta entrada vamos a hablar de una de las bases de conocimiento más importantes que tenemos disponible a día de hoy, MITRE ATT&CK.

MITRE ATT&CK es una base de conocimiento accesible a nivel mundial de tácticas y técnicas usadas por adversarios basadas en observaciones del mundo real.

Esta base de conocimientos es de gran utilidad tanto para equipos de defensa (blue team) como para equipos de ataque (red team) y es además muy útil para mejorar la colaboración entre estos.

El enfoque actual utilizado por muchas empresas para hacer frente a los ciberataques es insuficiente. En la mayoría de casos nos encontramos con empresas que utilizan un sistema antivirus en conjunto con un firewall y alguna herramienta adicional que suelen basarse únicamente en el uso de IOCs (Indicators of Compromise). Los IOC son útiles para detectar y neutralizar amenazas conocidas basadas en firmas simples que buscan un evento en concreto o la repetición del mismo. Estos IOCs, aun necesarios son los encargados de detectar las cosas más comunes, pero no los ataques más complejos. Por ejemplo, ha quedado demostrado en muchos ataques que un atacante con motivación puede evitar las defensas clásicas, por ejemplo, utilizando software legítimo para perpetrar el ataque.

Es por esta razón que MITRE ATT&CK está ganando un gran papel en la industria de la ciberseguridad ya que nos ayuda a no trabajar solo con IOCs sino con TTPs (Tactics, Techniques, and Procedures)

Leer más