Scribd
Cargar
461 vistas21 páginas

Modelado Practico de Amenazas y Defensas Blue Team Con MITRE

El documento presenta una charla sobre el uso del framework MITRE ATT&CK para priorizar la defensa cibernética mediante el conocimiento de las técnicas de amenazas. Se describe una caso de uso para una empresa de venta de comida para gatos en línea que es atacada por un grupo APT ficticio. Se comparten varias herramientas y recursos relacionados con ATT&CK como páginas web, repositorios de GitHub y una presentación adicional sobre pensar como atacante rojo y actuar como defensor azul.

Cargado por

tomas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
461 vistas21 páginas

Modelado Practico de Amenazas y Defensas Blue Team Con MITRE

El documento presenta una charla sobre el uso del framework MITRE ATT&CK para priorizar la defensa cibernética mediante el conocimiento de las técnicas de amenazas. Se describe una caso de uso para una empresa de venta de comida para gatos en línea que es atacada por un grupo APT ficticio. Se comparten varias herramientas y recursos relacionados con ATT&CK como páginas web, repositorios de GitHub y una presentación adicional sobre pensar como atacante rojo y actuar como defensor azul.

Cargado por

tomas
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd

Fundador de

G2 Security en 2000

Ingeniero Principal
Senior en McAfee

Autor e Instructor del


Instituto SANS

@aboutsecurity
MITRE qué??
PIENSA EN ROJO,
ACTUA EN AZUL
• Un ataque (red team) que no
resulta en la mejora del
programa de seguridad no sirve
para nada.
• La defensa (blue team) que no
está priorizada por las amenazas
y el impacto, no es efectiva.
• Es todo gestión de riesgos…
• MITRE ATT&CK te permite
priorizar de manera práctica en
qué enfocar tu defensa,
mediante el conocimiento del
enemigo.
¿Dónde comenzamos?

CASO DE USO: HACME CATS

Negocio: venta de comida para gatos


online
Amenaza: FIN-Dogs (súper APT)

Herramientas:
• Página de MITRE ATT&CK
• https://attack.mitre.org/
• ATT&CK Navigator
• https://mitre-attack.github.io/attack-
navigator/
https://attack.mitre.org/
https://mitre-attack.github.io/attack-navigator/enterprise/#
Juguemos con
algunas analíticas

• ATT&CK scripts:
https://github.com/mitre-
attack/attack-scripts
• Jupyter notebook:
https://mybinder.org/v2/gh/mitre-
attack/attack-scripts/master
• ATT&CK Python client:
https://github.com/hunters-
forge/ATTACK-Python-Client
Visibilidad vs
Detección
La mayoria de productos de detección no
son adecuados para threat hunting.

- Prevención y Detección -- Pocos FPs


- Visibiliidad y Hunting – Pocos FNs

https://deltarisk.com/blog/why-most-real-
time-defensive-solutions-are-poor-threat-
hunting-solutions/
• Framework para administrar,
evaluar y comparar la calidad de:
• Data sources
• Visibilidad
• Detección
• Threat actors

https://github.com/rabobank-
cdc/DeTTECT
Data Sources • https://github.com/rabobank-cdc/DeTTECT/wiki/Data-sources
• Casi 60 fuentes de datos aplicables a distintas plataformas

https://attack.mitre.org/techniques/T1071/
Ajustar
visibilidad y
detección
• https://github.com/rabobank-cdc/DeTTECT/wiki/Visibility-coverage
• Genera un fichero JSON con la cobertura de visibiliidad en base a la plantilla de
administración de técnicas: python dettect.py v -ft sample-data/techniques-
Visibilidad administration-endpoints.yaml -fd sample-data/data-sources-endpoints.yaml -l

• La leyenda indica el tipo de visibilidad en base al input proporcionado.


• https://github.com/rabobank-cdc/DeTTECT/wiki/Detection-coverage
• Genera un fichero JSON con la cobertura de detecciones en base a la plantilla de
administración de técnicas: python dettect.py d -ft sample-data/techniques-
Detección administration-endpoints.yaml -l

• La leyenda indica la calidad de las detecciones en base al input proporcionado.


• https://github.com/rabobank-cdc/DeTTECT/wiki/Threat-actor-group-
mapping
Threat Actors • Genera un fichero JSON con el heatmap de solo los grupos en los que estamos
interesados (FIN6, FIN7, FIN8): python dettect.py g -g 'fin7,fin8,fin6’
• El resultado está ordenado por técnicas más communes (rojo oscuro)
Gap Análisis
de Visibilidad
(Purple
Teaming)
Gap Análisis
de Detección
(Purple
Teaming)
• Thinking Red, Acting Blue -
https://www.sans.org/webcasts/defensible-security-
architecture-engineering-2-thinking-red-acting-blue-
mindset-actions-109710
• Guión de esta charla -
Recursos https://github.com/aboutsecurity/Talks-and-
Presentations/blob/master/c0r0n4con.md
adicionales • The Githubification of InfoSec by John Lambert -
https://medium.com/@johnlatwc/the-
githubification-of-infosec-afbdbfaad1d1
@aboutsecurity • DETT&CT - https://github.com/rabobank-
cdc/DeTTECT
• MITRE´s Red Teaming dataset -
https://github.com/mitre/brawl-public-game-001

También podría gustarte