Conceptos básicos de modelado de amenazas con MITER ATT y CK



Cuando los gerentes de riesgos consideran el papel que desempeña ATT & CK en la ecuación de riesgo clásica, tienen que comprender el papel del modelado de amenazas en la construcción de un escenario de riesgo completo.

El marco MITER ATT & CK, lanzado en 2015, se ha convertido en el método de facto para catalogar ataques y comprender las capacidades defensivas de una organización. Esta información también es útil para los profesionales de riesgo, quienes se encargan de ayudar a las organizaciones a comprender qué ataques son los más dañinos y con qué frecuencia pueden ocurrir.

La integración de MITER ATT & CK en el marco de gestión de riesgos de su organización puede brindarle la oportunidad de escalar los informes de riesgos en toda la organización, desde las operaciones de seguridad hasta el liderazgo de alto nivel. El punto más importante para recordar acerca de este mapeo es cuando consideramos el papel que juega ATT & CK en la ecuación de riesgo clásica (frecuencia de pérdida multiplicada por impacto), tenemos que entender el papel del modelado de amenazas en la construcción de un escenario de riesgo completo.

Fundamentos del escenario de pérdida
El riesgo ocurre donde hay potencial de pérdida. Tomados por sí mismos, los artículos en ATT & CK no son declaraciones de pérdida. En el lenguaje de la gestión de riesgos empresariales (ERM), son «factores desencadenantes de riesgos», elementos que inician la realización de un evento de riesgo. Por ejemplo, tome una técnica bajo la categoría de exfiltración, como datos cifrados o transferencias programadas, que son parte de las operaciones comerciales regulares. Ahora tenemos que imaginar las formas en que los atacantes podrían utilizar nefastamente estas técnicas.

Sin embargo, las técnicas en sí no nos dan la primera parte crítica de esa ecuación de riesgo: la frecuencia. Es importante tener en cuenta la frecuencia con la que podemos experimentar un ataque para ayudar a los ejecutivos a evitar el riesgo organizacional. ATT & CK alimenta la comprensión de la frecuencia de pérdida pero no la parte de impacto de la ecuación.

Construyendo un modelo de amenaza para la evaluación de riesgos
Mucho se ha dicho sobre la dificultad de atribuir ciertos hacks a varios actores de amenazas, pero para fines de evaluación de riesgos, no es necesaria una atribución positiva. En cambio, asignar estos tipos de ataque a varias clases de actores de amenazas es útil para medir su organización frente a su fuerza relativa.

Por ejemplo, los empleados internos que no pertenecen a TI pueden intentar forzar el acceso a las credenciales o encontrar credenciales codificadas en archivos o en papel, lo que permite sus nefastas acciones. Sin embargo, los ciberdelincuentes que intentan hacerse cargo de la cuenta utilizando proxies de sitios world wide web de intermediarios podrían emplear la interceptación de autenticación de dos factores. Naturalmente, podría producirse una superposición en estas listas.

Una vez que su mapeo entre el marco MITER ATT & CK y el marco de gestión de riesgos de su organización esté completo, y dependiendo en gran medida del modelo comercial de su empresa y la base de empleados, puede terminar con una lista que se ve así:

Comunidad de amenazas

Categoría ATT y CK

Tácticas y Técnicas

Insiders no privilegiados

Acceso de credenciales

Fuerza bruta

Credenciales en archivos

Cibercriminales

Acceso de credenciales

Interceptación de autenticación de dos factores

Envenenamiento y retransmisión LLMNR / NBT-NS

Impacto

Datos encriptados para impacto

Uso de ATT y CK para determinar la frecuencia de pérdida
En última instancia, la amenaza de las comunidades son los hacedores y su frecuencia de ataques es lo que se representa en una ecuación de riesgo. Sin embargo, muchas organizaciones no tienen los datos para responder las preguntas de «¿Con qué frecuencia nos atacan los cibercriminales?» y, «¿Con qué frecuencia los ciberdelincuentes causan eventos de pérdida en nuestra organización?»

Los datos que tienen a menudo son en forma de tipos de ataque. Por ejemplo, pueden saber con qué frecuencia son objetivo de ransomware (datos cifrados para impacto en ATT y CK). Eso se remonta a la comunidad de amenazas más possible (ciberdelincuentes) y puede ayudar a establecer un valor de frecuencia.

Las herramientas ofensivas y defensivas automatizadas pueden conducir fácilmente las tasas de frecuencia a 1,000 eventos de interés por día. Es importante comprender que esta tasa no se puede sustituir uno por uno con la frecuencia de eventos de pérdida. En cambio, a menudo se superpone una capa de juicio experto sobre estos valores que le da la oportunidad de ajustar ese valor para que pueda representar con precisión la frecuencia de pérdida para la organización. Como ejemplo, sus herramientas automatizadas de detección y respuesta de punto last pueden bloquear 800 eventos por día, pero en un año determinado usted estima que ocurran eventos de pérdida entre una y tres veces.

Este tipo de enfoque para el modelado de amenazas ayuda a los administradores de riesgos cibernéticos a unir dos factores muy importantes. El primero es un hiperenfoque en las minucias de la higiene cibernética diaria, las operaciones de seguridad y la gestión de amenazas, todas las funciones críticas que rara vez necesitan la atención de los altos directivos. El segundo es un enfoque de riesgo descendente hecho sin información de primera línea adecuada. El uso de un enfoque de modelado de amenazas para la gestión de riesgos como el descrito anteriormente permite a las organizaciones tomar muestras de los datos disponibles en el frente para informar mejor sus evaluaciones de riesgos de alto nivel.

Contenido relacionado:

El Dr. Jack Freund es el Director de Ciencias del Riesgo de RiskLens, una plataforma de cuantificación de riesgos cibernéticos basada en Honest. En el transcurso de sus 20 años de carrera en tecnología y riesgo, Freund se ha convertido en una voz líder en medición y gestión de riesgos cibernéticos. Anteriormente trabajó … Ver biografía completa

Lectura recomendada:

Más concepts





Enlace a la noticia unique