Valoración
  • Actualmente 5 de 5 Estrellas.
Tu valoración
  • Actualmente 5 de 5 Estrellas.
  • 1
  • 2
  • 3
  • 4
  • 5
OPINIÓN

Mikel Gastesi, Senior Threat Intelligence Analyst en CounterCraft

Adoptando el ATT&CK de MITRE para ‘Threat Hunting’

El att&ck de mitre es una excelente herramienta. Nos brinda un lenguaje común con el que hablar sobre un incidente y es una manera de expresar qué ha ocurrido y de tratar de entender cómo actúa un atacante.

Se trata de una herramienta que nos permite representar y visualizar lo que está sucediendo en un entorno controlado y monitorizado, creando el modelado del ciberataque en tiempo real. Y, eso no es todo, nos presenta la información de una manera con la que los analistas empezamos a estar familiarizados, facilitando aún más la comprensión de todo lo que nos muestra.

A la hora de adoptar e implementar este modelado de amenazas, vemos la potencia que nos brinda, pero también algunas limitaciones inherentes a su diseño. Cabe comentar que también nos obliga a manejar las expectativas de quienes, abrumados e ilusionados al verlo, desean que sea la solución a todos los problemas a los que quieren dar respuesta.

Reflexionando sobre qué significa utilizar el modelado de amenazas, vemos que estamos tratando de categorizar eventos muy complejos que suceden en un contexto determinado dentro de una tabla finita. Tanto para lo bueno como para lo malo, la información que perdemos por el camino será un factor muy determinante.

Una de las mayores bondades que nos ofrece el modelado de amenazas es allanar el camino al analista u operador. No importa si el sistema ha detectado la ejecución de comandos como 'ifconfig' o 'ipconfig.exe', ni tan siquiera si la máquina en la que se ha detectado es un servidor Linux o Windows, el usuario verá que se ha detectado una acción dentro de la fase de descubrimiento (Discovery). Tampoco importa si lo que se ha detectado es una secuencia de varios eventos en la que se ha visto una conexión desde una máquina de la red interna, seguida de un login y una ejecución de un proceso, o se ha detectado el uso de un patrón conocido y un SSH Hijacking aprovechando conexiones ya existentes. El analista podrá, en un primer momento, abstraerse de dichos detalles y saber que ha sucedido un movimiento lateral (Lateral Movement). De esta manera, podrá observar de un vistazo la información más relevante e indagar en busca de más detalles en o alrededor de los eventos que han definido dichos TTP (tácticas, técnicas y procedimientos).

Matriz de MITRE

Por otra parte, existen técnicas que no son fáciles de encajar en la matriz de MITRE, e incluso comportamientos que queremos detectar y mostrar pero no tienen por qué tener un lugar en el ATT&CK de MITRE. Por ejemplo, la descarga y posterior ejecución de un binario puede ser considerada una acción interesante que queremos detectar y que podrá incluso indicar que las siguientes acciones pertenecen a dicho software/malware y no al actor propiamente dicho, pero la acción desencadenante tal vez no tiene cabida, o sí, en la matriz.

Una vez implementada la abstracción de comportamientos sobre el ATT&CK de MITRE, a medida que vamos "coloreando celdas", la matriz de MITRE se convierte en una definición de conjunto de técnicas que queremos detectar y mostrar a alto nivel. Por tanto, el sentido común nos dice que el número de celdas que seamos capaces de "colorear" nos indicará qué somos capaces de detectar e incluso de inferir la madurez de un producto. Esto es realmente engañoso, ya que detectar la implementación de una técnica no implica detectar todas las posibles puestas en funcionamiento o maneras de ejecutar el mismo propósito. Por tanto, cuando vemos un mapa de cobertura indicando la capacidad de detección, generalmente debemos entender que el que lo muestra es capaz de descubrir al menos una manera de implementar cada técnica marcada, pero no podemos dar por sentado que es capaz de detectar cualquier implementación de la misma.

Llegados a este punto, podemos observar que el problema que intentamos resolver es más complejo de lo que pueda parecer en un principio.

Posibles usos

Yendo un paso más allá, y basándonos en toda la información sobre los actores de la que podamos disponer en forma de TTP, junto con la información que nosotros mismos somos capaces de producir, salen a la palestra dos posibles usos:

  • La bola de cristal: Mientras monitorizamos un ataque, ¿por qué no utilizar la información que tenemos para saber qué va a ocurrir a continuación?
  • Atribución: ¿Quién puede estar detrás de este ataque?

Será posible realizar una correlación de los eventos y tratar de definir qué técnica tiene mayor probabilidad de ocurrir a continuación, pero siempre siendo realistas y teniendo en cuenta que no se trata de predecir el futuro. A la hora tratar de resolver este problema, existen diferentes aproximaciones expuestas por MITRE, pero es frecuente que no dispongamos de información que podría ser muy útil, como puede ser el orden en que ha sido detectada cada técnica, la diferencia de tiempo entre las distintas técnicas o tener constancia de cada instancia o detección de cada técnica. Habitualmente, la información que tenemos consiste en una simple lista de técnicas, sin más información contextual, lo que no ayuda a la hora de exprimir el conocimiento disponible.

La atribución basada en el modus operandi también resulta interesante, pero es extremadamente difícil realizarla con garantías. Existe bastante información referente a los atacantes, pero nos encontramos nuevamente con información parcial. Al publicar información referente a un actor, lo que se suele revelar es lo que se ha visto durante el análisis, tal vez limitado por un NDA y sesgado por lo que el autor ha considerado relevante, tanto a la hora de analizar el incidente como a la hora de publicar el informe. La información hace referencia a la actuación del atacante en un entorno concreto y en unas circunstancias específicas y, aunque ciertos modos de operar, herramientas y técnicas proveen información relevante, seguramente algunas otras dependen del objetivo y del entorno encontrado durante el ataque. Del mismo modo que en el apartado anterior, la información carece generalmente de información relevante como el orden o número de apariciones de cada una, por citar los más evidentes.

Es por tanto muy importante ser cautelosos a la hora de sacar conclusiones y ser capaces de fundamentar cada vez que se indica qué técnica tiene mayor probabilidad de aparecer o cada vez que se realiza una atribución de un comportamiento a un grupo. 

Queda camino por recorrer, pero la sensación es que se están haciendo las cosas bien. ATT&CK de MITRE es un proyecto muy vivo, con cada vez más adeptos y, además de actualizar la de sobra conocida matriz, se están dando pasos hacia la obtención de información muy valiosa para su posterior análisis. Se debe, por tanto, seguir –y seguimos– trabajando en una obtención de información relevante, útil y certera. Debemos continuar madurando la adopción y el uso que se da al excelente trabajo que nos proporciona MITRE y sacar el máximo partido a todo lo disponible; pero siempre con cautela y siendo conscientes tanto de los puntos fuertes como de los débiles de las herramientas y de la información que tratamos.

Referencias

MITRE ATT&CK Blog: Finding Related ATT&CK Techniques. https://medium.com/mitre-attack/finding-related-att-ck-techniques-f1a4e8dfe2b6

MITRE ATT&CK Sightings: https://attack.mitre.org/resources/sightings/

Blogpost CounterCraft: How to fight threats in the modern age. https://www.countercraft.eu/blog/post/some-thoughts-about-threat-fighting/

Volver

Newsletter

¿Quieres estar informado? Ya puedes suscribirte GRATIS a nuestra newsletter mensual