¿Dónde empezar? Priorizar las técnicas de ATT&CK

May 10 2022
Escrita por Mike Cunningham, Alexia Crumpton, Jon Baker e Ingrid Skoog. MITRE ATT&CK® for Enterprise incluye más de 500 técnicas y subtécnicas y la lista crece con cada versión.

Escrita por Mike Cunningham , Alexia Crumpton , Jon Baker e Ingrid Skoog .

MITRE ATT&CK® for Enterprise incluye más de 500 técnicas y subtécnicas y la lista crece con cada versión. Los defensores, ya sean nuevos en ATT&CK o usuarios de larga data, necesitan saber dónde comenzar con ATT&CK y en qué técnicas de ATT&CK enfocarse a continuación.

En la superficie, estas preguntas parecen sencillas. Hay muchos recursos disponibles públicamente que enumeran las diez técnicas principales de ATT&CK. El Center for Threat-Informed Defense incluso ha realizado investigaciones en esta área con el proyecto Sightings Ecosystem . Estas listas que se enfocan en identificar las técnicas ATT&CK más comunes son útiles, pero hay más para priorizar las técnicas ATT&CK que la simple frecuencia de las técnicas. Dónde enfocarse a continuación o cómo comenzar con ATT&CK debe adaptarse al usuario final, impulsado por inteligencia de amenazas y procesable.

Para ayudar a los defensores a priorizar sistemáticamente las técnicas de ATT&CK, el Centro, en colaboración con participantes como AttackIQ, Inc. , Center for Internet Security , CrowdStrike, Inc. , HCA-Information Technology & Services, Inc. , JPMorgan Chase Bank, NA , Microsoft Corporation , Red Canary, Inc. y Splunk, Inc. desarrollaron las mejores técnicas de ATT&CK. Publicamos una calculadora de las mejores técnicas de ATT&CK y una metodología que permite a los defensores crear fácilmente listas de las mejores técnicas de ATT&CK que se adaptan a sus necesidades y entorno. Luego aplicamos la metodología para crear una lista de las 10 mejores técnicas de ransomware. Reconocemos que existen muchos enfoques para la priorización de técnicas y agradecemos los comentarios de la comunidad para ayudarnos a continuar evolucionando nuestra metodología.

¿Qué son las mejores técnicas de ATT&CK?

En su forma visual, Top ATT&CK Techniques es una calculadora basada en la web que permite a los defensores generar una lista de cada técnica, priorizada según las entradas de los usuarios. Las entradas del usuario incluyen filtros para el sistema operativo, controles de seguridad, análisis de detección y modificadores para la cobertura de monitoreo de procesos y redes. La calculadora muestra las 10 técnicas principales y ofrece la opción de exportar los resultados en formato JSON.

Calculadora de las mejores técnicas de ATT&CK y lista de las 10 mejores

Metodología

Una lista de técnicas principales debe ser procesable y estar impulsada por la inteligencia de amenazas. Esta creencia guió la creación de nuestra metodología. La metodología se compone de tres componentes diferentes: accionabilidad, cuello de botella y prevalencia. Creamos algoritmos para cada componente para determinar el peso de una técnica dentro del componente, y luego combinamos el peso de cada componente para dar una puntuación general.

Metodología de las mejores técnicas de ATT&CK

La prevalencia se define como la frecuencia de uso de una técnica específica de ATT&CK durante un período de tiempo. Los datos provienen del proyecto Sightings Ecosystem. Este proyecto nos dio la capacidad innata de ver una gran cantidad del comportamiento salvaje del adversario, las técnicas utilizadas y el período de tiempo en el que ocurrieron estos ataques. Los datos tienen un alcance de 2019 a 2021, lo que nos da 3 años de datos para analizar. A través de estos datos, se utilizó el análisis de frecuencia y se ajustó en función de la actualidad del uso de la técnica. Una técnica vista con más frecuencia a lo largo del tiempo teniendo un mayor peso que una técnica vista el mes pasado.

Comparación de técnicas de prevalencia de ATT&CK

Choke Point se define como una técnica específica en la que muchas otras técnicas convergen o divergen y eliminar esa técnica específica causaría la interrupción de un adversario. Para determinar el punto de estrangulamiento, se analizaron los informes de amenazas de código abierto para identificar técnicas en las que muchas otras técnicas ocurrieron directamente antes y después. Estas técnicas pueden servir como denominador común en ataques dispares. Por ejemplo, la inyección de proceso es un cuello de botella porque muchas técnicas pueden ocurrir inmediatamente antes y puede habilitar muchas técnicas de seguimiento. La defensa contra la inyección de procesos puede limitar una posible ruta de ataque. Las técnicas con una mayor cantidad de técnicas de antes y después tuvieron mayor peso. A medida que este proyecto madure, el Centro buscará incorporar ATT&CK Flowdatos en esta metodología.

Choke Point T1055: Inyección de proceso exitosa

La capacidad de acción se define como la oportunidad para que un defensor detecte o mitigue una técnica de ATT&CK basada en análisis y controles de seguridad disponibles públicamente. En palabras más simples, ¿puede un defensor actuar contra una técnica? Para responder a esta pregunta, la accionabilidad se separó en dos categorías: detecciones y mitigaciones. Se utilizaron recursos disponibles públicamente para identificar la cantidad total de detecciones y controles de seguridad que se asignaron a cada técnica de ATT&CK. Las técnicas que tienen una mayor cantidad de detecciones y mitigaciones tienen una mayor ponderación. Para las detecciones, se identificaron análisis del Repositorio de análisis cibernético de MITRE , Elastic , las reglas de Sigma HQ y las detecciones de Splunk.Para las mitigaciones, los controles de seguridad se seleccionaron de los controles de seguridad críticos de CIS y los controles de seguridad NIST 800–53.

Recuento de técnicas de mitigación y detección de accionabilidad para ATT&CK

Principales técnicas de ATT&CK aplicadas al ransomware

Además de brindarles a los defensores una herramienta para ayudarlos a priorizar las técnicas, pusimos la metodología en práctica y producimos una lista de los 10 principales centrada en el ransomware . Después de todo, el ransomware es de gran alcance, indiscriminado y relevante para la mayoría de las organizaciones. Esta lista es nuestra evaluación de qué técnicas debe priorizar un defensor para protegerse contra un ataque de ransomware.

Lista de los diez principales ransomware estáticos

Para crear esta lista de ransomware, se utilizó la metodología del proyecto y se complementó con la adición de un componente separado que es específico para el análisis de ransomware del Centro. Para alimentar este componente, revisamos los informes de inteligencia sobre amenazas cibernéticas en 22 familias de ransomware diferentes (revisadas en los últimos 3 años) y extrajimos las técnicas ATT&CK utilizadas en esos ataques. Cuantas más veces se vio una técnica en los 22 grupos, mayor fue la ponderación.

Ejemplo: T1486: se encontraron datos cifrados para impacto en 17 o 22 informes de ransomware encuestados.

Técnicas Críticas

Encontramos algo interesante sobre un conjunto de técnicas mientras probábamos la metodología. Hay un puñado de técnicas independientes del sistema operativo que aparecen con frecuencia en la lista de las 10 principales, a pesar de las entradas del usuario. Esas técnicas son:

  • T1059 — Intérprete de secuencias de comandos y comandos
  • T1053 — Tarea/trabajo programado
  • T1562 — Deterioro de las defensas
  • T1021 — Servicios remotos
  • T1543 — Crear o modificar el proceso del sistema

¿Cómo puedes usar tu lista de los 10 principales?

Ahora que puede generar su propia lista, ¿cuáles son los próximos pasos?

  • Aprenda sobre cada técnica y asegúrese de tener una comprensión firme de lo que es.
  • Evalúe si está recopilando los datos adecuados para detectar sus mejores técnicas. ATT&CK ha catalogado las fuentes de datos y los componentes de datos necesarios para detectar cada técnica.
  • Una vez que tenga un conocimiento firme de cada técnica y las fuentes de datos para cada técnica, puede comenzar a implementar las mitigaciones y detecciones de los recursos mencionados anteriormente.

ATT&CK no se creó con la intención de asignar valores o pesos a las técnicas. Es una base de conocimiento de las cosas que han hecho los adversarios y brinda a los defensores un léxico común. Por lo tanto, cuantificar los datos dentro de ATT&CK es un poco precario. Este proyecto aplicó valores discretos a ideas abstractas y generó una puntuación ponderada para cada técnica.

Los datos utilizados para este análisis difícilmente eran perfectos, lo que condujo a algunas entradas defectuosas. Las entradas defectuosas conducen a salidas defectuosas, lo que significa que esta lista de las 10 principales no debe verse como una declaración de que solo necesita defenderse de las 10 técnicas principales. Esta lista debería servir como punto de partida para un enfoque más holístico para mejorar sistemáticamente las capacidades defensivas.

Esperamos evolucionar y mejorar nuestra metodología con los comentarios y la experiencia de la comunidad. Lanzar este proyecto es un paso importante para unir a la comunidad para empoderar a los defensores y necesitamos sus comentarios. Comparta con nosotros lo que funciona, lo que no funciona y cómo podemos hacer que esto sea más beneficioso para usted. La inteligencia de amenazas es un componente crítico de nuestra metodología y las contribuciones de la comunidad al proyecto Sightings Ecosystem garantizan que un conjunto de datos amplio y oportuno impulse nuestro análisis. The Sightings Ecosystem Project siempre está buscando colaboradores de datos adicionales .

Acerca del Centro para la defensa informada contra amenazas

El Centro es una organización de investigación y desarrollo sin fines de lucro, financiada con fondos privados, operada por MITRE Engenuity. La misión del Centro es promover el estado del arte y el estado de la práctica en la defensa basada en amenazas a nivel mundial. Compuesto por organizaciones participantes de todo el mundo con equipos de seguridad altamente sofisticados, el Centro se basa en MITRE ATT&CK®, una base importante para la defensa basada en amenazas que utilizan los equipos y proveedores de seguridad en sus operaciones de seguridad empresarial. Debido a que el Centro opera para el bien público, los resultados de su investigación y desarrollo están disponibles públicamente y para el beneficio de todos.

© 2022 MITRE Ingenio. Aprobado para publicación pública. Número de documento CT0047.

© Copyright 2021 - 2022 | unogogo.com | All Rights Reserved