Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Clase 3 Publicar
Clase 3 Publicar
CIS Control
MITRE ATT&CK Framework
Ciberhigiene
Agenda Controles
Estructura
1
15/10/2023
Grupos de
implementación (IG)
Una metodología
detallada
CIS
CONTROLS Ediciones solicitadas
por la comunidad
2
15/10/2023
Grupos de implementación
Ciberhigiene esencial
• Grupo 1 (IG1)
• Conjunto fundacional de 56
salvaguardas de
ciberdefensa.
• Las salvaguardias incluidas
en IG1 son: Lo que toda
empresa debe aplicar para
defenderse de los más
comunes Ataques.
3
15/10/2023
Subcontroles CIS
Subcontroles CIS
4
15/10/2023
Subcontroles CIS
Casos de uso
10
5
15/10/2023
11
12
6
15/10/2023
Matriz ATT&CK
Navigator ATT&CK
13
•Inteligencia de amenazas
•Respuesta a incidentes
•Evaluaciones de seguridad
•Desarrollar una estrategia de defensa
•Mejorar la capacidad de respuesta ante
incidentes
•Mantenerse actualizado
14
7
15/10/2023
Figura 3. ATT&CK no es un modelo secuencial; Los atacantes eligen cualquier táctica y técnica que les permita lograr su objetivo
general.
15
16
8
15/10/2023
Tácticas
Terminología
clave de
ATT&CK
Técnicas Procedimientos
17
18
9
15/10/2023
Casos de uso
Threat Modelling: It's Not Just for Developers - ATT&CKcon 3.0 Day 2
https://attack.mitre.org/datasources/
19
https://trailhead.salesforce.com/es/content/learn/
modules/the-center-for-internet-security-controls-
version-8
20
10
15/10/2023
Referencias
• CIS critical security Controls version 8. (s/f). CIS. Recuperado el 24 de septiembre de 2023, de https://www.cisecurity.org/controls/v8
• Groups. (s/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de https://attack.mitre.org/groups/
• IBM Documentation. (2023, febrero 13). Ibm.com. https://www.ibm.com/docs/es/qradar-common?topic=app-mitre-attck-mapping-
visualization
• Mitigations - Enterprise. (s/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de https://attack.mitre.org/mitigations/enterprise/
• MITRE ATT&CKcon - ATT&CKcon 3.0. (s/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de
https://attack.mitre.org/resources/attackcon/march-2022/
• mitrecorp [@mitrecorp]. (2022a, mayo 18). ATT&CKing Containers in the Cloud - ATT&CKcon 3.0 Day 2. Youtube.
https://www.youtube.com/watch?v=eu6Jo2OQLIo&list=PLkTApXQou_8Jo2B27kq62Md4bypcBqBAw&index=30
• mitrecorp [@mitrecorp]. (2022b, mayo 18). Threat modelling: It’s not just for developers - ATT&CKcon 3.0 Day 2. Youtube.
https://www.youtube.com/watch?v=zBp5AUBS1gQ&list=PLkTApXQou_8Jo2B27kq62Md4bypcBqBAw&index=31
• Software asset management policy template for CIS control 2. (s/f). CIS. Recuperado el 24 de septiembre de 2023, de
https://www.cisecurity.org/insights/white-papers/software-asset-management-policy-template-for-cis-control-2
• Spitzner, L., Orlando, M., & Tarala, J. (s/f). CIS Controls v8. Sans.org. Recuperado el 24 de septiembre de 2023, de
https://www.sans.org/blog/cis-controls-v8/
• The center for internet security critical security controls. (s/f). Salesforce.com. Recuperado el 24 de septiembre de 2023, de
https://trailhead.salesforce.com/es/content/learn/modules/the-center-for-internet-security-controls-version-8/define-the-center-for-
internet-security-controls
• Walkowski, D. (2021, junio 10). MITRE ATT&CK: What it is, how it works, who uses it and why. F5 Labs.
https://www.f5.com/labs/learning-center/mitre-attack-what-it-is-how-it-works-who-uses-it-and-why
• (S/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de https://www.mitre.org/who-we-are
21
Gracias
22
11