15/10/2023

CIS Control
MITRE ATT&CK Framework

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

CIS Controls - Definición

Grupos de implementación / Ciberhigiene

Ciberhigiene

Agenda Controles

Mitre ATT&CK Framework

Estructura

Contenido, ejemplos y casos de uso

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

1
 15/10/2023

Grupos de
implementación (IG)

Una metodología
detallada
CIS
CONTROLS Ediciones solicitadas
por la comunidad

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

2
 15/10/2023

Grupos de implementación

Ciberhigiene esencial

• Grupo 1 (IG1)
• Conjunto fundacional de 56
salvaguardas de
ciberdefensa.
• Las salvaguardias incluidas
en IG1 son: Lo que toda
empresa debe aplicar para
defenderse de los más
comunes Ataques.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

3
 15/10/2023

Subcontroles CIS

Subcontroles CIS

4
 15/10/2023

Subcontroles CIS

Casos de uso

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

10

5
 15/10/2023

MITRE ATT&CK Framework

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

11

Descubrir Crear Dirigir

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

12

6
 15/10/2023

• Base de conocimientos y un modelo seleccionado para el

comportamiento del adversario cibernético, que refleja las diversas fases
del ciclo de vida del ataque de un adversario y las plataformas a las que
se sabe que se dirigen.

Matriz ATT&CK

Navigator ATT&CK

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

13

Objetivos del marco

• ¿Cómo entró el atacante?
• ¿Cómo se mueven?

Componentes del marco

• Técnicas y Tácticas
• APTs

El marco MITRE ATT&CK también se utiliza en:

•Inteligencia de amenazas
•Respuesta a incidentes
•Evaluaciones de seguridad
•Desarrollar una estrategia de defensa
•Mejorar la capacidad de respuesta ante
incidentes
•Mantenerse actualizado

14

7
 15/10/2023

¿Cómo se usa la matriz ATT & CK?

Figura 3. ATT&CK no es un modelo secuencial; Los atacantes eligen cualquier táctica y técnica que les permita lograr su objetivo
general.

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

15

Entendiendo las matrices

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

16

8
 15/10/2023

Tácticas

Terminología
clave de
ATT&CK

Técnicas Procedimientos

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

17

Recursos invaluables de ATT&CK

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

18

9
 15/10/2023

Casos de uso

ATT&CKing Containers in the Cloud - ATT&CKcon 3.0 Day 2

Threat Modelling: It's Not Just for Developers - ATT&CKcon 3.0 Day 2

https://attack.mitre.org/datasources/

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

19

Actividad de grupo 1/2 (28/10)

En sesión virtual en casa, trabajar

• Comparen las matrices:

Matriz CIS V8 – ISO 27001 /

Matriz CIS V8 – Mitre ATT&CK

• Política para la organization con base en CIS Control

En casa (de forma individual):

• Tomar el curso de formación para CIS V8

https://trailhead.salesforce.com/es/content/learn/
modules/the-center-for-internet-security-controls-
version-8

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

20

10
 15/10/2023

Referencias
• CIS critical security Controls version 8. (s/f). CIS. Recuperado el 24 de septiembre de 2023, de https://www.cisecurity.org/controls/v8
• Groups. (s/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de https://attack.mitre.org/groups/
• IBM Documentation. (2023, febrero 13). Ibm.com. https://www.ibm.com/docs/es/qradar-common?topic=app-mitre-attck-mapping-
visualization
• Mitigations - Enterprise. (s/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de https://attack.mitre.org/mitigations/enterprise/
• MITRE ATT&CKcon - ATT&CKcon 3.0. (s/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de
https://attack.mitre.org/resources/attackcon/march-2022/
• mitrecorp [@mitrecorp]. (2022a, mayo 18). ATT&CKing Containers in the Cloud - ATT&CKcon 3.0 Day 2. Youtube.
https://www.youtube.com/watch?v=eu6Jo2OQLIo&list=PLkTApXQou_8Jo2B27kq62Md4bypcBqBAw&index=30
• mitrecorp [@mitrecorp]. (2022b, mayo 18). Threat modelling: It’s not just for developers - ATT&CKcon 3.0 Day 2. Youtube.
https://www.youtube.com/watch?v=zBp5AUBS1gQ&list=PLkTApXQou_8Jo2B27kq62Md4bypcBqBAw&index=31
• Software asset management policy template for CIS control 2. (s/f). CIS. Recuperado el 24 de septiembre de 2023, de
https://www.cisecurity.org/insights/white-papers/software-asset-management-policy-template-for-cis-control-2
• Spitzner, L., Orlando, M., & Tarala, J. (s/f). CIS Controls v8. Sans.org. Recuperado el 24 de septiembre de 2023, de
https://www.sans.org/blog/cis-controls-v8/
• The center for internet security critical security controls. (s/f). Salesforce.com. Recuperado el 24 de septiembre de 2023, de
https://trailhead.salesforce.com/es/content/learn/modules/the-center-for-internet-security-controls-version-8/define-the-center-for-
internet-security-controls
• Walkowski, D. (2021, junio 10). MITRE ATT&CK: What it is, how it works, who uses it and why. F5 Labs.
https://www.f5.com/labs/learning-center/mitre-attack-what-it-is-how-it-works-who-uses-it-and-why
• (S/f). Mitre.org. Recuperado el 24 de septiembre de 2023, de https://www.mitre.org/who-we-are

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

21

Gracias

Maestría en Seguridad Informática – Universidad Mariano Gálvez de Guatemala

22

11