Las empresas cuentan con muchas herramientas de ciberseguridad para luchar contra las intrusiones en los sistemas. Herramientas como EDR, NDR, NIDS y SIEM están ampliamente desplegadas. Estas herramientas registran continuamente las actividades del sistema y generan alertas para que los analistas de seguridad actúen. Estas herramientas son fundamentales para la seguridad de las empresas.
Sin embargo, hay varios problemas que dificultan su utilidad en la práctica. A menudo oímos hablar del problema de la «Sobrecarga de alertas de amenazas», un fenómeno en el que los analistas de seguridad reciben tantas alertas cada día que se vuelven incapaces de buscar información relacionada con el contexto y evidencias de apoyo para cada alerta. Las verdaderas alertas de amenazas suelen perderse en el gran volumen de falsas alarmas ruidosas.
Hay muchas razones para el problema de la saturación de las alertas de amenazas, pero las dos causas principales son:
- Las herramientas de ciberseguridad en general son propensas a un alto volumen de falsas alarmas. Detectar un verdadero ataque se convierte en un problema de buscar una «aguja en un pajar». Los sistemas actuales emplean una amplia gama de IOCs (indicadores de compromiso) que capturan indicadores aislados como firmas de malware, tráfico anormal o IPs y dominios en lista negra. Los indicadores no son más que piezas de evidencia observadas en una red o sistema que indican que se ha producido algún nivel de intrusión. Están aislados, carecen de información contextual y a menudo tienen muchos falsos positivos.
- La insuficiente correlación de eventos de ataque es otra de las principales causas de la falta de detección y respuesta oportuna. Las intrusiones actuales en los sistemas son más sutiles y sofisticadas. A menudo implican acciones del atacante en varias etapas y un largo tiempo de permanencia en la red de la empresa. Esto requiere una correlación cronológica y especial para crear una verdadera secuencia de ataque. Sin embargo, sin el nivel de estructura adecuado, se producen enormes brechas estadísticas entre los registros de eventos a nivel de sistema y los comportamientos de ataque de alto nivel. Las observaciones a nivel de sistema difícilmente pueden unirse para tener una imagen completa del objetivo y los pasos de acción del atacante.
Entonces, ¿qué soluciones existen que puedan facilitar la vida de un analista de seguridad? Para proteger mejor la red, estos defensores deben aprender de sus adversarios: ¿Qué quieren conseguir los adversarios? ¿Cuáles son los enfoques que utilizan para lograr sus objetivos? Para encontrar la «aguja en el pajar», los defensores necesitan una visión general de alto nivel para conectar los puntos. Conseguir una visión holística de un determinado ataque requiere un cambio de paradigma, pasando de la detección basada en el IOC a una metodología de búsqueda de amenazas y análisis forense más basada en la TTP.
¿Qué son las TTP y ATT&CK de MITRE?
TTP significa tácticas, técnicas y procedimientos, que proporcionan una descripción de la operación de un atacante. Las tácticas explican «qué» intenta lograr un atacante, mientras que las técnicas y los procedimientos representan «cómo» un atacante logra estos objetivos tácticos, como la escalada de privilegios o la exfiltración de archivos. El uso de TTPs permite a los analistas de seguridad buscar patrones de ataque en lugar de aquellos indicadores posteriores a un ataque.
MITRE ATT&CK mapea las TTPs utilizadas por los atacantes, catalogando miles de ataques en un esquema general. Proporciona una categorización general y un conocimiento actualizado. El esquema puede ayudar a diseñar herramientas de búsqueda de amenazas y métodos de detección para identificar tácticas y técnicas específicas.
ATT&CK de MITRE visualiza todas las TTPs conocidas en un formato de matriz fácil de entender. Las tácticas se enumeran en la parte superior, y las técnicas individuales se enumeran en cada columna. Las tácticas se presentan de izquierda a derecha en el orden de una secuencia de ataque. Algunas técnicas se desglosan en subtécnicas que se describen con mayor detalle.
Se pueden utilizar múltiples técnicas para una táctica del atacante. Por ejemplo, un atacante podría intentar tanto un adjunto (T1566.001) como un enlace (T1566.002) en las técnicas de Phishing para lograr la táctica de Acceso Inicial. Además, algunas técnicas están catalogadas bajo múltiples tácticas ya que pueden ser utilizadas para diferentes objetivos.
Uso de MITRE ATT&CK para entender las alertas de amenazas
Los TTP en ATT&CK son una herramienta valiosa para los analistas de seguridad porque ilustran cómo se produce un ataque. Sin embargo, dado que el marco está diseñado para el recuento, el TTP por sí solo no puede decir si las acciones están relacionadas con una actividad maliciosa o con una operación comercial normal.
Por ejemplo, una herramienta de acceso remoto (RAT) «3PARA RAT» tiene los siguientes comportamientos:
- Utiliza HTTP para el comando y control (T1071.001 Application Layer Protocol: Web Protocols).
- Sus comandos de mando y control están cifrados (T1573.001 Canal cifrado: Criptografía simétrica) dentro del canal HTTP C2 utilizando el algoritmo DES en modo CBC con una clave derivada del hash MD5 de ciertas cadenas.
- Tiene un comando para recuperar los metadatos de los archivos en el disco, así como un comando para listar el directorio de trabajo actual (T1083 File and Directory Discovery).
- Tiene un comando para establecer ciertos atributos como la creación/modificación de marcas de tiempo en los archivos (T1070.006 Remoción de Indicadores en el Host: Timestomp).
La mayoría de estas actividades son normales en la red y los sistemas de una empresa, sin embargo, cuando se toman en conjunto, pueden indicar una amenaza grave para la red. Por lo tanto, los TTPs son mucho mejores que los IOCs para identificar amenazas.
Sin embargo, esto no supera por sí mismo el problema de la sobrecarga con las falsas alarmas de amenazas. Los administradores de seguridad siguen necesitando adoptar análisis de comportamiento y correlación basados en TTP para vencer la sobrecarga de las alarmas. La especificación TTP definida en MITRE ATT&CK es un valioso aliado para etiquetar las anomalías y correlacionar los eventos de la línea de tiempo para detectar amenazas.
Conclusión
En esta publicación, hemos hablado de cómo el cambio de la detección de amenazas basada en IOC a los métodos de comportamiento basados en TTP puede ayudar a aumentar la eficacia de la detección de amenazas. En la próxima entrega de esta publicación, hablaremos de cómo utilizar el análisis del comportamiento para distinguir entre el funcionamiento normal y las amenazas reales de la red.
