



En esta entrada vamos a ver como la matriz de MITRE ATT&CK para AWS puede ayudarnos a representar mejor nuestra capacidad de detección.
Como también pasa en las infraestructuras clásicas, la prevención está muy bien y es fundamental pero la detección se ha convertido en algo esencial. Hemos asumido ya que tenemos que orientar nuestra defensa no solo a prevenir sino a detectar y además debemos presuponer que nuestra infraestructura en un momento u otro será comprometida.
Es por esto que teniendo en mente este foco de detección uno de los frameworks que más nos pueden ayudar a decidir qué tenemos que detectar, como vimos en la pasada entrada MITRE ATT&CK, defiende teniendo en cuenta las tácticas y técnicas del adversario, es MITRE ATT&CK.
Como MITRE ATT&CK se basa en observaciones reales podemos usar esta matriz para evaluar nuestra seguridad actual. Esto lo podemos hacer asignando un nivel de madurez a cada una de las técnicas y verificando para cada una de ellas en que nivel de madurez se encuentra nuestra infraestructura. John Hubbard presentó en el SANS Summit los siguientes niveles de madurez:
1. No hay detección
2. Registrado localmente
3. Registrado centralmente
4. Registro enriquecido / correlacionado
5. Reporte / Visualización
6. Experimental / Detección funcional
7. Detección de alta fidelidad