Es una pregunta antigua: ¿Cómo saber si necesita más seguridad? MITRE ha estado trabajando diligentemente para documentar tácticas y técnicas para evaluar la preparación de seguridad y responder a esta pregunta tan desafiante. A fines de agosto del 2020, MITRE, una organización sin fines de lucro, lanzó una nueva matriz de conocimiento, llamada MITRE Shield, para complementar la matriz ATT&CK.
La organización lo llamó “una base de conocimientos de defensa activa que MITRE está desarrollando para capturar y organizar lo que estamos aprendiendo sobre la defensa activa y la participación del adversario“. Con su enfoque en las medidas de defensa activas, MITRE diseñó Shield para ayudar a los defensores a comprender sus opciones de ciberseguridad y tomar medidas proactivas para defender sus activos. Entre las técnicas de defensa activa más comunes se encuentran las tecnologías de ocultación y engaño cibernético, que aparecen en gran medida en la nueva matriz Shield.
¿Qué es MITRE Shield, exactamente?
En esencia, MITRE Shield es una base de conocimientos de libre acceso que contiene información sobre técnicas y tácticas comunes que ayuda a los defensores a comprender mejor a los adversarios que enfrentan para proteger sus redes. Más específicamente, es una guía para crear una Defensa Activa basada en la participación del adversario y lecciones sobre:
- Cómo nos atacan los ciber-adversarios
- Que herramientas usan
- Qué hacen después de establecer presencia en nuestras redes
- Lo que están buscando en última instancia
Al igual que la conocida matriz ATT&CK de la organización, Shield se presenta en un formato tabular, con ocho tácticas y una amplia gama de técnicas asignadas a casos de uso más específicos. La matriz ayuda a contrarrestar los patrones de ataque conocidos y ayuda a los defensores a conocer a los adversarios que los atacan para prepararse mejor para los ataques en el futuro.
En total, Shield cubre 33 técnicas y 190 casos de uso informados por más de 10 años de trabajo de MITRE defendiendo su red de los ciber-atacantes.
En lugar de simplemente detectar y eliminar a los atacantes de la red, Shield se centra en la defensa activa. La matriz señala que hay mucho que aprender de los atacantes y que involucrarlos activamente dentro de la red puede crear valiosas oportunidades de aprendizaje. Dado que la tecnología de engaño es una tecnología de defensa activa conocida por su eficacia para involucrar a los atacantes y generar inteligencia de adversario para los defensores, Shield dedica una cantidad considerable de tiempo y esfuerzo a tácticas y principios del uso de engaño o “Cyber Deception”.
Alineando la tecnología de engaño y ocultación con Shield
Las tecnologías de engaño y ocultación se distinguen de otras medidas de defensa activa en que van más allá del uso de técnicas de señuelo para lograr la prevención y detección de ataques. El engaño desvía proactivamente a los atacantes de sus objetivos utilizando “cebos digitales” y otra información falsa, guiándolos hacia los señuelos y, en última instancia, hacia un entorno de engaño que puede aislarlos de manera segura y recopilar inteligencia del adversario. El ocultamiento, por otro lado, realiza la tarea complementaria de ocultar objetos reales para que un atacante ni siquiera pueda ver los datos, y mucho menos borrarlos, alterarlos o manipularlos.
Estos se alinean bien con las tácticas específicas descritas dentro de la matriz MITRE Shield. Shield divide estas tácticas en ocho grupos: canalizar, recolectar, contener, detectar, interrumpir, facilitar, legitimar y probar, y dentro de cada una de esas categorías, hay formas específicas en las que se puede utilizar la tecnología de engaño:
- Canal: el engaño puede canalizar a los adversarios lejos de los sistemas importantes y hacia los sistemas de señuelos, lo que hace que el adversario pierda tiempo y recursos, descarrile el ataque y aumente su costo.
- Recolectar: los defensores pueden usar técnicas engañosas para estudiar al atacante en acción, recopilando información sobre sus comportamientos y tácticas.
- Contener: al interactuar con un entorno de engaño, las actividades del atacante permanecen contenidas dentro de los límites específicos del entorno y lejos de los activos de producción.
- Detectar: a diferencia de las defensas perimetrales, la tecnología de engaño detecta intrusos dentro de la red y captura las tácticas, técnicas y procedimientos del adversario (TTP) tanto en el punto final como en el señuelo.
- Interrumpir: proporcionar contenido engañoso a los atacantes afectará su capacidad para lograr sus objetivos, sean los que sean.
- Facilitar: el engaño ayuda a facilitar el ataque a lo largo de ciertas líneas, lo que lleva a los atacantes a creer que han cumplido una parte de su misión al crear un sistema de señuelo “vulnerable” para que el atacante apunte.
- Legitimar: el engaño hace que los atacantes crean que los señuelos, señuelos y desvíos son reales. Agregar autenticidad a los componentes engañosos es un elemento esencial para ser objetivos atractivos.
- Prueba: interactuar con atacantes significa probarlos para determinar sus intereses, capacidades y comportamientos para detener los ataques actuales y futuros.
De las 33 técnicas de defensa cubiertas dentro de estas ocho categorías de tácticas, la tecnología de engaño y ocultación puede implementar 27 de ellas, mientras que el engaño solo cubre alrededor de 10. Esta diferencia subraya la importancia de la tecnología de ocultación, no solo de engañar a los intrusos sino de negarles el acceso a los datos. y activos que buscan. Términos como redes señuelo, personas señuelo, sistemas señuelo, cuentas señuelo, credenciales señuelo y otros ocupan un lugar destacado en toda la matriz de MITRE Shield, destacando nuevamente el papel vital que desempeñan las tecnologías de engaño y ocultación para identificar y detener a los ciberdelincuentes actuales.
La matriz destaca varios casos de uso específicos para la tecnología, y señala que al crear una cuenta señuelo, los defensores pueden atraer a los adversarios para que interactúen con esa cuenta de una manera que revele información sobre sus tácticas, objetivos e incluso las herramientas que están usando. Del mismo modo, la siembra de un sistema objetivo potencialmente de alto valor con credenciales señuelo, como nombres de usuario, contraseñas y tokens falsos, puede permitir a los defensores esencialmente esperar a los atacantes. Bajo esta idea los defensores están listos para recibir una alerta cuando un intruso intenta acceder a un recurso específico o utilizar un conjunto de credenciales ficticias. Al colocar señuelos en toda la red, los defensores pueden interactuar activamente con los atacantes de formas nuevas y significativas.
El engaño y el encubrimiento ya no son un “NicetoHave”, son esenciales
El papel destacado que juegan las tecnologías de engaño y ocultación en la matriz MITRE Shield es el indicador más claro hasta ahora de que estas tecnologías son una parte esencial del panorama de cibeseguridad actual.Los defensores que buscan reforzar sus protecciones dentro de la red y mejorar su capacidad para recopilar información valiosa sobre el adversario deben examinar cómo su enfoque actual de seguridad se alinea o no con la matriz Shield. Si bien, el valor del engaño y el ocultamiento es bien conocido por los profesionales de la seguridad, la decisión de MITRE de destacar tantas técnicas específicas y casos de uso de la tecnología subraya el papel central que desempeña en el mundo de la seguridad actual y el valor agregado que puede proporcionar a cualquier pila de seguridad integral.
– Jesús Navarro, Director General de Data Warden.