MITRE ATT&CK es un gran esquema de conocimiento común para aprender y comunicar sobre los comportamientos de los adversarios. Puede utilizarse para guiar los esfuerzos de detección, investigación y respuesta a las amenazas por parte de los equipos de ciberseguridad. Sin embargo, todavía es necesario aplicar la analítica para diferenciar las actividades de amenazas reales de los comportamientos normales.
Además, correlacionar las actividades de las amenazas para generar un gráfico de ataques temporal y especial sigue siendo un gran reto para la comunidad de ciberseguridad. Además, el gran volumen de alertas de seguridad -ya sean verdaderas o falsas- puede sobrecargar a los equipos de ciberseguridad y provocar la fatiga de las alertas de amenazas.
Retos de análisis de comportamiento y correlación
Las herramientas de seguridad tradicionales pueden crear alertas TTP (tácticas, técnicas y procedimientos) utilizando un conjunto de reglas estáticas. Sin embargo, esas reglas normalmente no conocen el entorno empresarial en el que operan. No pueden discernir si un comportamiento es normal o malicioso, por lo que suelen generar un gran número de falsas alarmas.
Las herramientas de análisis de comportamiento pueden utilizar modelos de aprendizaje de máquina para establecer una línea de base de comportamiento normal, y detectar la desviación de la línea de base algorítmicamente. El análisis de comportamiento puede reducir en gran medida los falsos positivos de la línea de base, pero la carga sigue recayendo en el analista de seguridad para reconstruir manualmente la cadena de eventos de ataque. Si el comportamiento es realmente malicioso, el analista necesita correlacionar las diversas etapas del ataque a través de una enorme cantidad de registros del sistema.
Una secuencia de técnicas y tácticas utilizadas para un ataque es lo que llamamos una cadena TTP. Utilizando las especificaciones típicas del ciclo de vida de un APT, a alto nivel la cadena de ataque podría incluir el compromiso inicial, la escalada de privilegios, el reconocimiento interno, el movimiento lateral, la exfiltración y la limpieza, etc.
Una secuencia de ataque resuelta con todas las TTPs anormales reunidas daría a los analistas una gran ventaja para abordar los comportamientos que tienen una alta probabilidad de ser verdaderos ataques. Ya se han probado varios enfoques, como el modelo de etapas del kill chain. El éxito de estos enfoques es limitado debido a dos problemas principales:
- Falta de información sobre el seguimiento de la casuística. Las herramientas actuales carecen del contexto necesario para comprender las interdependencias entre las alertas de amenazas relacionadas. Una cronología de eventos puede ayudar, pero el simple orden de los eventos cronometrados no garantiza que tengan relaciones causa-efecto. Se necesita un gráfico de dependencia (o gráfico de procedencia) para crear un marco de auditoría del sistema y determinar la dependencia causal entre los sujetos y objetos del sistema.
- Una brecha significativa entre los eventos de bajo nivel del sistema y una visión de alto nivel de la cadena de ataques. Para salvar la brecha semántica, se necesita una capa intermedia que describa los patrones de comportamiento de los ataques. Se requiere un conocimiento experto para generar reglas que relacionen los eventos de nivel de sistema con los comportamientos TTP. La creación de reglas TTP caseras puede ser un trabajo desalentador.
Una alternativa: MITRE ATT&CK
MITRE ATT&CK framework es una base de conocimiento pública de TTPs. Muchos de los principales proveedores de seguridad ya utilizan el MITRE ATT&CK framework para describir sus detecciones de amenazas. Los TTP de MITRE ATT&CK ofrecen un enfoque más pragmático y representativo para construir un modelo de correlación de amenazas.
El modelo ATT&CK describe las acciones que realiza un atacante dentro de una red empresarial. El modelo caracteriza los comportamientos del delincuente para crear un entendimiento de los comportamientos comunes a través de las actividades de ataque conocidas. El framework describe las acciones individuales o combinadas que un atacante puede realizar para lograr sus objetivos.
Las TTPs descritas en ATT&CK fueron seleccionadas sobre la base de intrusiones APT observadas a partir de informes públicos, y se incluyen en el modelo a un nivel de representación necesario para comprender eficazmente los objetivos e intenciones de un atacante, y para priorizar las estrategias defensivas.
Utilizando un gráfico de dependencias de bajo nivel, y mapeando los eventos de amenaza a las TTPs de ATT&CK, podemos construir cadenas de TTPs para redes y sistemas empresariales. Además, la combinación de técnicas en una cadena TTP representa varios escenarios de ataque que pueden combinarse en un gráfico de ataque.
Los gráficos de ataques proporcionan a los analistas una visión compacta de los ataques en varias fases, lo que acelera la investigación y la respuesta. Al igual que cuando se resuelve un rompecabezas, cuando se conectan millones de piezas aisladas, se revela la intención del atacante y se pueden tomar las medidas adecuadas para proteger la red y sus recursos.
Conclusión
vLas herramientas de seguridad empresarial heredadas que utilizan enfoques basados en el IOC dificultan que los analistas de seguridad comprendan plenamente el alcance de un ataque. El uso de un enfoque basado en TTP y la asignación de esos eventos al marco ATT&CK puede ayudar a reducir la sobrecarga de alertas de amenazas y contribuir a una postura de seguridad más fuerte.
Además, ATT&CK puede utilizarse para mejorar la detección de amenazas añadiendo una estructura de mayor nivel para el análisis del comportamiento. ATT&CK es un gran marco para comunicar y colaborar en la detección de amenazas, la investigación y la respuesta a incidentes. Tendremos más blogs sobre varios escenarios de uso de esta gran base de conocimientos.