Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clase N2
Clase N2
consecuencias reales
Uso de Engage
Fuente: https://medium.com/cycraft/cycraft-classroom-mitre-att-ck-vs-cyber-kill-chain-vs-diamond-model-1cc8fa49a20f
7
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
8
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
9
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
10
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
11
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
12
Fuente: https://itblogr.com/tier-of-threat-actors-cheatsheet/
13
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/
Ecosistema del cibercrimen
Fuente: https://www.nicybersecuritycentre.gov.uk/cyber-threats
14
Fuente: https://content.fireeye.com/m-trends/rpt-m-trends-2021
15
Fuente: https://www.criticalstart.com/threat-detection-and-the-pyramid-of-pain/
16
Fuente: https://attack.mitre.org/
17
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/
¿Qué es el Adversarial Tactics, Techniques,
and Common Knowledge MITRE ATT&CK®?
MITRE ATT&CK® es una base de conocimientos accesible a nivel
mundial sobre las tácticas y técnicas de los adversarios, basada en
observaciones del mundo real. La base de conocimientos ATT&CK se
utiliza como base para el desarrollo de modelos y metodologías de
amenazas específicas en el sector privado, en el gobierno y en la
comunidad de productos y servicios de ciberseguridad.
Fuente: https://attack.mitre.org/
18
Fuente: https://attack.mitre.org/
19
La pregunta clave para lo s inve stigadores fue " ¿Qué tan bien e stamo s
detectando el comportamiento adversario documentado ? " Para
responder a e sa pregunta, los inve stigadore s desarrollaron ATT&CK,
que se utilizó como herramienta para categorizar el comportamiento
del advers ario.
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
20
Técnicas que describen los medios por los cuales los adversarios logran
objetivos tácticos (las células individuales); y
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
21
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/
MITRE ATT&CK® Framework
MITRE ATT&CK ahora tiene tres iteraciones:
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
22
Al obs ervar la vers ión más amplia de ATT&C K para empres as , que
inc luye Windows , macOS, L inux, PRE, Azure AD, Office 365, Goog le
Works pac e, SaaS, IaaS, Network y Containers .
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
23
Al obs ervar la vers ión más amplia de ATT&C K para empres as , que
inc luye Windows , macOS, L inux, PRE, Azure AD, Office 365, Goog le
Works pac e, SaaS, IaaS, Network y Containers .
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
24
25
Recopilación de
información para planificar
futuras operaciones del
adversario, es decir,
información sobre la
organización objetivo.
https://null-byte.wonderhowto.com/how-to/hack-like-pro-
advanced-nmap-for-reconnaissance-0151619/
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
26
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
27
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
28
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
29
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
30
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
31
Fuente: https://www.avast.com/es-es/c-keylogger
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
33
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
34
Fuente: https://malware.news/t/lateral-movement-what-it-is-and-how-to-block-it/30648
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
35
Fuente: https://beaglesecurity.com/blog/article/man-in-the-middle-attack.html
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
36
10-Movimiento lateral :
6-Escalada de privilegios :
7-Evasión de defensa : tratar 8-Acceso con credenciales : 9-Descubrimiento : tratando moverse a través de su
tratar de obtener permisos de
de evitar ser detectado, es robo de nombres de cuentas y de descubrir su entorno, es entorno, es decir, usar
nivel superior, es decir,
decir, usar procesos confiables contraseñas, es decir, registro decir, explorando lo que credenciales legítimas para
aprovechar una vulnerabilidad
para ocultar malware de teclas pueden controlar pivotar a través de múltiples
para elevar el acceso
sistemas
12-Comando y control :
11-Recopilación : recopilación comunicarse con sistemas
14-Impacto : manipular,
de datos de interés para el comprometidos para 13-Exfiltración : robar datos,
interrumpir o destruir sistemas
objetivo del adversario, es controlarlos, es decir, imitar el es decir, transferir datos a una
y datos, es decir, cifrar datos
decir, acceso a datos en el tráfico web normal para cuenta en la nube
con ransomware
almacenamiento en la nube comunicarse con una red
víctima
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
40
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
41
Los adversarios pueden abusar del Programador de Tareas de Windows para realizar la
programación de tareas para la ejecución inicial o recurrente de código malicioso. Hay
varias formas de acceder al Programador de Tareas en Windows. La utilidad schtasks
puede ejecutarse directamente en la línea de comandos, o el Programador de Tareas
puede abrirse a través de la interfaz gráfica de usuario dentro de la sección Herramientas
del Administrador del Panel de Control.
Fuente: https://attack.mitre.org/
43
¿Qué es un procedimiento?
Los procedimientos son la implementación específica que el adversario utiliza
para las técnicas o subtécnicas.
EJEMPLO: schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru
"System"
Fuente: https://attack.mitre.org/
44
EJEMPLO:
ID: G0082 APT38 es un grupo de amenazas patrocinado por el estado de Corea del
Norte que se especializa en operaciones cibernéticas financieras; se ha atribuido a la
Oficina General de Reconocimiento[1]. Activo desde al menos 2014, APT38 ha
atacado bancos, instituciones financieras, casinos, intercambios de criptomonedas,
puntos finales del sistema SWIFT y cajeros automáticos en al menos 38 países de todo
el mundo.
Fuente: https://attack.mitre.org/
45
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/
UNIDAD 1: Conociendo el framework MITRE ATT&CK®
¿Qué es un software?
Software es un término genérico para código personalizado o comercial, utilidades del sistema
operativo, software de código abierto u otras herramientas utilizadas para realizar
comportamientos modelados en ATT&CK. Algunas instancias de software tienen múltiples
nombres asociados con la misma instancia debido a que varias organizaciones rastrean el
mismo conjunto de software con diferentes nombres.
EJEMPLO: S0239 Bankshot es una herramienta de acceso remoto (RAT) que fue
reportada por primera vez por el Departamento de Seguridad Nacional en
diciembre de 2017. En 2018, Lazarus Group usó el implante Bankshot en
ataques contra el sector financiero turco.
Tipo : MALWARE
Plataformas : Windows
Fuente: https://attack.mitre.org/
46
Fuente: https://attack.mitre.org/
48
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
50
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
51
52
53
54
55
Nivel 2 para aquellos que son equipos de nivel medio que comienzan
a madurar.
• La inteligencia sobre amenazas cibernéticas consiste en saber qué hacen sus adversarios y utilizar esa
información para mejorar la toma de decisiones.
• Para una organización con solo un par de analistas que quiere comenzar a usar ATT&CK para la inteligencia
de amenazas, una forma de comenzar es tomando un solo grupo que le importa y observando sus
comportamientos estructurados en ATT&CK.
https://www.linkedin.com
/in/mgsebastianvargasyan
Ejemplo:
ez/
Grupos cibercriminales
Para Sector financiero.
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 57
Ilustración: Katie Nickels 2019 - Getting Started with ATT&CK: Threat Intelligence
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
58
Si su equipo CTI es avanzado, puede comenzar a asignar más información a ATT&CK, y luego usar esa
información para priorizar cómo defiende. Tomando el proceso anterior, puede asignar información interna y
externa a ATT&CK, incluidos datos de respuesta a incidentes, informes de OSINT o suscripciones de inteligencia
de amenazas, alertas en tiempo real e información histórica de su organización.
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
59
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
60
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
61
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
62
Evitar suposiciones con los controles gracias al conocimiento exacto de qué se detecta o mitiga, y qué
no
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
63
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
64
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
65
•El mejor lugar para comenzar con ATT&CK es siempre la página web de
ATT&CK de MITRE.
•https://attack.mitre.org/
68
https://github.com/mitre/attack-navigator
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
69
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
70
Metta es un proyecto de
recurso abierto de Uber
que realiza una simulación
adversaria y está alineado
con ATT&CK de MITRE. https://github.com/uber-common/metta
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
71
Caldera de MITRE
Caldera es una
herramienta de simulación
adversaria automatizada
de recurso abierto que se
basa en ATT&CK de
MITRE.
https://github.com/mitre/caldera
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 72
Recursos y herramientas de ATT&CK
de MITRE.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 75
Recursos y herramientas de ATT&CK
Tableau de ATT&CK mediante Cyb3rPanda
Cyb3rPanda
cargó ATT&CK en
una instancia
pública de
Tableau en un
formato dinámico Fuente: https://public.tableau.com/profile/cyb3rpanda#!/vizhome/MITREATTCKMatrixforEnterpriseV2/ATTCK?publish=yes
fácil de filtrar.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
76
Recursos y herramientas de ATT&CK
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 77
Materiales:
https://attack.mitre.org/matrices/
https://mitre-attack.github.io/attack-navigator/
https://chrome.google.com/webstore/detail/attck-powered-
suit/gfhomppaadldngjnmbefmmiokgefjddd
78
Matrices de Mitre ATT&CK®
Plataformas:
Windows , macOS , Linux , PRE , Azure AD , Office 365 , Google
Workspace , SaaS , IaaS , Network , Containers .
https://attack.mitre.org/matrices/enterprise/
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
79
Ejercicio #1:
81
UNIDAD 2: Matrices MITRE ATT&CK®
Matriz Mobile
Plataformas:
Android , iOS https://attack.mitre.org/matrices/mobile/
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key
82
Plataformas:
https://attack.mitre.org/matrices/ics/
Fuente: Tactics and techniques used by APT Chimera during Operation Skeleton Key 84
85
#Ejercicio2
86
Ciclo de vida del Ransomware
Fuente: https://www.picussecurity.com/resource/the-ransomware-attack-lifecycle-from-the-defenders-perspective
87
Las mejores técnicas de ATT&CK
Fuente: https://ctid.mitre-engenuity.org/our-work/top-attack-techniques/
88
Fuente: https://ctid.mitre-engenuity.org/our-work/top-attack-techniques/ 89
• Para maximizar el impacto en la organización de destino, el malware diseñado para cifrar datos puede tener características
similares a las de un gusano para propagarse a través de una red aprovechando otras técnicas de ataque como cuentas
válidas , volcado de credenciales del sistema operativo y recursos compartidos de administración de SMB/Windows . (Cita:
FireEye WannaCry 2017 )(Cita: US-CERT NotPetya 2017)
• En entornos de nube, los objetos de almacenamiento dentro de cuentas comprometidas también pueden cifrarse. (Cita:
Rhino S3 Ransomware Parte 1)
Fuente: https://top-attack-techniques.mitre-engenuity.org/
91
https://www.picussecurity.com/resource/the-most-common-ransomware-ttp-mitre-attck-t1486-data-encrypted-for-impact
93
A pesar de estas ventajas, el cifrado asimétrico suele ser significativamente más lento
que el cifrado simétrico y requiere más fuentes informáticas.
https://www.picussecurity.com/resource/the-most-common-ransomware-ttp-mitre-attck-t1486-data-encrypted-for-impact
94
¿Cómo cifra el
ransomware los activos
de la víctima EMOTET?
https://www.govcert.ch/blog/severe-ransomware-attacks-against-swiss-smes/
95
¿Cómo cifra el
ransomware los
activos de la víctima
LockerGoga?
https://www.govcert.ch/blog/severe-ransomware-attacks-against-swiss-smes/
96
Fuente: https://success.trendmicro.com/tw/solution/1123892-ryuk-ransomware-information
97
¿Cómo cifra el
ransomware los
activos de la víctima
CONTI?
https://www.trendmicro.com/en_us/research/21/c/vision-one-tracking-conti-ransomware.html
98
https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1486/T1486.md
99
• Los adversarios han utilizado varias utilidades nativas de Windows para deshabilitar o eliminar las funciones de recuperación
del sistema:
vssadmin.exe se puede usar para eliminar todas las instantáneas de volumen en un sistema -vssadmin.exe delete shadows /all /quiet
El Instrumental de administración de Windows se puede usar para eliminar instantáneas de volumen:wmic shadowcopy delete
wbadmin.exe se puede utilizar para eliminar el catálogo de copia de seguridad de Windows -wbadmin.exe delete catalog -quiet
bcdedit.exese puede usar para deshabilitar las funciones de recuperación automática de Windows modificando los datos de
configuración de arranque -bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures & bcdedit /set {default} recoveryenabled no
Fuente: https://top-attack-techniques.mitre-engenuity.org/
100
Fuente: https://www.picussecurity.com/resource/mitre-attck-t1490-inhibit-system-recovery-the-ransomwares-favorite
101
Fuente: https://github.com/redcanaryco/atomic-red-team/blob/master/atomics/T1490/T1490.md
102
• Las cargas útiles se pueden comprimir, archivar o cifrar para evitar la detección. Estas cargas útiles se pueden usar durante el acceso inicial o más
tarde para mitigar la detección. A veces, es posible que se requiera la acción de un usuario para abrir y desofuscar/decodificar archivos o
información para la ejecución del usuario . También se le puede solicitar al usuario que ingrese una contraseña para abrir un archivo
comprimido/encriptado protegido con contraseña que fue proporcionado por el adversario. (Cita: Volexity PowerDuke noviembre de 2016) Los
adversarios también pueden usar scripts comprimidos o archivados, como JavaScript.
• También se pueden codificar partes de los archivos para ocultar las cadenas de texto sin formato que, de otro modo, ayudarían a los defensores con
el descubrimiento. (Cita: Linux/Cdorked. Un análisis de seguridad de We Live) Las cargas útiles también pueden dividirse en archivos separados
aparentemente benignos que solo revelan una funcionalidad maliciosa cuando se vuelven a ensamblar. (Cita: Ofuscación de negro de humo,
septiembre de 2016)
• Los adversarios también pueden ofuscar los comandos ejecutados desde las cargas útiles o directamente a través de un Intérprete de comandos y
secuencias de comandos . Las variables de entorno, los alias, los caracteres y otras semánticas específicas de la plataforma/idioma se pueden utilizar
para evadir las detecciones basadas en firmas y los mecanismos de control de aplicaciones. (Cita: FireEye Ofuscation junio de 2017) (Cita: FireEye
Revoke-Obfuscation julio de 2017)(Cita: PaloAlto EncodedCommand marzo de 2017)
Fuente: https://top-attack-techniques.mitre-engenuity.org/
103
• Un adversario puede utilizar WMI para interactuar con sistemas locales y remotos y utilizarlo como
un medio para ejecutar varios comportamientos, como la recopilación de información para el
descubrimiento y la ejecución remota de archivos como parte del movimiento lateral. (Cita: FireEye
WMI SANS 2015) (Cita: FireEye WMI 2015)
Fuente: https://top-attack-techniques.mitre-engenuity.org/
104
• Cambiar el nombre de las utilidades del sistema abusables para evadir el monitoreo de
seguridad también es una forma de enmascaramiento . (Cita: sitio principal de LOLBAS)
Fuente: https://top-attack-techniques.mitre-engenuity.org/
105
• También hay intérpretes multiplataforma como Python , así como aquellos comúnmente asociados con
aplicaciones cliente como JavaScript y Visual Basic .
• Los adversarios pueden abusar de estas tecnologías de varias maneras como un medio para ejecutar comandos
arbitrarios. Los comandos y scripts se pueden incrustar en cargas útiles de acceso inicial entregadas a las
víctimas como documentos atractivos o como cargas útiles secundarias descargadas de un C2 existente. Los
adversarios también pueden ejecutar comandos a través de terminales/shells interactivos, así como utilizar
varios servicios remotos para lograr la ejecución remota. (Cita: Comandos remotos de Powershell) (Cita:
Garantía de integridad del software Cisco IOS - Historial de comandos) (Cita: Ejecución remota de shell) en
Python)
• Los adversarios pueden modificar maliciosamente los componentes del entorno de una
víctima para obstaculizar o desactivar los mecanismos defensivos. Esto no solo implica el
deterioro de las defensas preventivas, como los firewalls y los antivirus, sino también las
capacidades de detección que los defensores pueden usar para auditar la actividad e
identificar el comportamiento malicioso. Esto también puede abarcar tanto defensas
nativas como capacidades complementarias instaladas por usuarios y administradores.
Fuente: https://top-attack-techniques.mitre-engenuity.org/
107
• Los adversarios pueden interactuar con el Registro de Windows para ocultar información de configuración dentro de las claves
del Registro, eliminar información como parte de la limpieza o como parte de otras técnicas para ayudar en la persistencia y la
ejecución.
• El acceso a áreas específicas del Registro depende de los permisos de la cuenta, algunos requieren acceso de nivel de
administrador. La utilidad de línea de comandos integrada de Windows, Reg , se puede utilizar para modificar el registro de
forma local o remota. (Cita: Microsoft Reg) También se pueden usar otras herramientas, como una herramienta de acceso
remoto, que puede contener funcionalidad para interactuar con el Registro a través de la API de Windows.
• Las modificaciones del registro también pueden incluir acciones para ocultar claves, como anteponer nombres de claves con un
carácter nulo, lo que provocará un error y/o se ignorará cuando se lea a través de Reg u otras utilidades que utilizan la API de
Win32. (Cita: Microsoft Reghide NOV 2006) Los adversarios pueden abusar de estas claves pseudo-ocultas para ocultar las
cargas/comandos utilizados para mantener la persistencia. (Cita: TrendMicro POWELIKS, AGOSTO DE 2014) (Cita: SpectorOps
Hiding Reg, julio de 2017)
• El Registro de un sistema remoto puede modificarse para ayudar en la ejecución de archivos como parte del movimiento lateral.
Requiere que el servicio de registro remoto se esté ejecutando en el sistema de destino. (Cita: Microsoft Remote) A menudo , se
requieren cuentas válidas , junto con acceso a los recursos compartidos de administración de SMB/Windows del sistema
remoto para la comunicación RPC.
• Si bien la ejecución del usuario ocurre con frecuencia poco después del acceso
inicial, puede ocurrir en otras fases de una intrusión, como cuando un
adversario coloca un archivo en un directorio compartido o en el escritorio de
un usuario con la esperanza de que haga clic en él. Esta actividad también se
puede ver poco después de Internal Spearphishing .
Fuente: https://top-attack-techniques.mitre-engenuity.org/
109
• Los adversarios pueden inyectar código en los procesos para evadir las defensas basadas en procesos y
posiblemente elevar los privilegios. La inyección de procesos es un método para ejecutar código arbitrario
en el espacio de direcciones de un proceso en vivo separado. Ejecutar código en el contexto de otro
proceso puede permitir el acceso a la memoria del proceso, los recursos del sistema/red y posiblemente
privilegios elevados. La ejecución a través de la inyección de procesos también puede evadir la detección
de los productos de seguridad, ya que la ejecución está enmascarada bajo un proceso legítimo.
• Hay muchas formas diferentes de inyectar código en un proceso, muchas de las cuales abusan de
funcionalidades legítimas. Estas implementaciones existen para todos los sistemas operativos principales,
pero generalmente son específicas de la plataforma.
• Las muestras más sofisticadas pueden realizar múltiples inyecciones de proceso para segmentar módulos
y evadir aún más la detección, utilizando canalizaciones con nombre u otros mecanismos de
comunicación entre procesos (IPC) como canal de comunicación.
https://top-attack-techniques.mitre-
engenuity.org/calculator
111
https://attackevals.mitre-engenuity.org/
Plataformas:
https://attack.mitre.org/matrices/ics/
https://attackevals.mitre-engenuity.org/
• Las evaluaciones de ATT&CK son un punto de partida. Se utiliza un entorno de libro abierto para comprender las capacidades
básicas de las soluciones. Es importante considerar la puesta en funcionamiento de estas soluciones en el contexto de su
organización, incluida la generación de falsos positivos.
• No hay ganadores. El objetivo de las evaluaciones de ATT&CK es mostrar las diferentes capacidades de cada proveedor.
• Contar tiene limitaciones. No creemos que ninguna forma única de contar sea adecuada para todos. Como hemos descrito,
debe considerar sus propias necesidades y luego considerar la puntuación en función de ellas.
• No todas las técnicas son iguales. Una técnica de detección para Credential Dumping puede no tener el mismo valor que una
técnica para Process Discovery, debido a la gravedad de la acción. La categoría le da una idea general, pero debe sumergirse
en los detalles para comprender la técnica y la detección.
• No todos los procedimientos son iguales. El descubrimiento de procesos (T1057) a través de la interfaz de línea de comandos
(T1059) se puede detectar con la mayoría de los procesos de monitoreo. Process Discovery a través de API (T1106)
necesitaría monitoreo de API. Un proveedor podría tener una detección para uno pero no para el otro.
https://attackevals.mitre-engenuity.org/
Comprender el enfoque de las evaluaciones de ATT&CK
• Antes de que pueda entender los resultados, o incluso el análisis que la gente está
realizando sobre los resultados, es importante considerar el origen de las evaluaciones
de ATT&CK. Cuando ATT&CK Evaluations se conceptualizó originalmente, se hizo con
un alcance muy específico: brindar transparencia en torno a la capacidad de las
soluciones defensivas para abordar los comportamientos descritos en ATT&CK e
impulsar el mercado de la seguridad empresarial. La metodología de Evaluaciones
Empresariales se diseñó específicamente para basarse en datos y centrarse en este tema
tan específico. Hay muchas otras organizaciones que utilizan varias otras prácticas y
filosofías para abordar la pregunta más amplia de qué productos son los "mejores". Las
evaluaciones de ATT&CK pueden ayudar a abordar algunos aspectos de esta pregunta,
pero existen algunas opciones de diseño clave y las limitaciones resultantes.
https://attackevals.mitre-engenuity.org/
• La cobertura analítica puede ser síntoma del mismo efecto. Es posible que muchas
técnicas de ATT&CK no justifiquen las alertas debido al ruido o al costo (de oportunidad)
de recopilar esos datos. La cobertura de telemetría puede ser un buen indicador de las
capacidades potenciales de un producto, pero si tiene un SOC pequeño o sin
experiencia, confiar únicamente en la telemetría para las detecciones puede ser una
receta para el desastre. Visibilidad, un compuesto entre las dos estadísticas anteriores,
enfrenta los mismos desafíos, pero también brinda una visión simplificada de la mística
métrica de "cobertura de ATT&CK".
Fuente: https://medium.com/mitre-engenuity/making-sense-of-att-ck-evaluations-data-42ca844940b9
117
Fuente: https://attackevals.mitre-engenuity.org/enterprise/participants/?adversaries=wizard-spider-sandworm%2Ccarbanak-fin7%2Capt29%2Capt3
Fuente: https://attackevals.mitre-engenuity.org/enterprise/participants/?adversaries=wizard-spider-sandworm%2Ccarbanak-fin7%2Capt29%2Capt3
Fuente: https://www.cynet.com/blog/learn-how-to-interpret-the-2022-mitre-attck-evaluation-results/
Fuente: https://www.cynet.com/blog/learn-how-to-interpret-the-2022-mitre-attck-evaluation-results/
Fuente: https://www.cynet.com/blog/learn-how-to-interpret-the-2022-mitre-attck-evaluation-results/
Fuente: https://hackarizona.org/results-overview-2022-mitre-attck-evaluation-wizard-spider-and-sandworm-edition/
Ejemplo siguiente, se ha
identificado tres
soluciones, cada una con
sus propios pros y contras.
Las flechas rojas indican
los puntos en los que las
evaluaciones ATT&CK han
contribuido a la decisión.