La academia adopta el marco Mitre ATT & CK



Los profesionales de la seguridad y los investigadores académicos discuten las mejores formas de utilizar el marco de MITRE para informar los esfuerzos de ciberseguridad, analizar amenazas y enseñar a los futuros trabajadores.

Cuando dos educadores del programa de justicia penal de la Universidad de Temple decidieron ofrecer un curso sobre el análisis de las tácticas, técnicas y procedimientos (TTP) utilizados por los ciberdelincuentes, recurrieron al marco ATT & CK de MITRE, una taxonomía cada vez más common de los pasos que toman los atacantes para infiltrarse en las redes. comprometer sistemas y ejecutar cargas útiles.

Sus lecciones se centraron en los intentos iniciales de los atacantes de infectar los sistemas de los usuarios mediante la ingeniería social, pasando a un subconjunto del marco conocido como PRE-ATT & CK, que identifica las técnicas y sub-técnicas que podrían detectarse al principio de una infiltración de una red objetivo. Las empresas pueden utilizar la lista PRE-ATT & CK para buscar las actividades iniciales de los atacantes para establecer políticas de detección temprana y para intentar detener los ataques antes de que comprometan con éxito los sistemas.

Aunshul Rege, profesor asociado en Temple University, junto con Ph.D. La estudiante Rachel Bleiman, adoptó el marco PRE-ATT & CK como parte de su clase sobre ciberdelito como una forma de enseñar a los estudiantes sobre inteligencia de amenazas, mapeo de amenazas y estrategias de mitigación, dijeron los investigadores académicos durante ATT & CKcon de 90 minutos de MITRE presentación la semana pasada.

«Lo que es realmente genial es que estamos tratando de mapear casos de ingeniería social, lo que normalmente no se hace, así que creo que es un ejercicio interesante desde la perspectiva de las ciencias sociales», dijo Rege durante la sesión informativa sobre los esfuerzos de la escuela. «No es (tan) técnico, por lo que todas las disciplinas pueden participar. Tengo estudiantes de ciencias sociales que pueden participar en esto y obtener una comprensión de la inteligencia de amenazas».

El esfuerzo académico es solo una forma de Marco ATT & CK se ha convertido en un estándar para describir los TTP de los atacantes. Publicado oficialmente en mayo de 2015, el marco es utilizado por más del 80% de las empresas como parte de sus programas de ciberseguridad, según una encuesta publicada por la Universidad de California en Berkeley y McAfee la semana pasada.

Un analista de amenazas de Google demostró cómo la empresa utiliza el marco para clasificar las amenazas de ransomware como TA505, una designación de grupo que se superpone con el grupo FIN11 reciente descrito por FireEye a principios de esta semana. El análisis demuestra que muchos de los TTP podrían ser utilizados por una empresa atenta para detectar un ataque de ransomware antes de la etapa de infección actual, dijo Brandon Levene, jefe de inteligencia aplicada del equipo de amenazas en mayúsculas de Google, en una presentación.

Detectar el ransomware es demasiado tarde hay una cadena larga que conduce a la infección, dice.

«Complementar la defensa en profundidad con la detección en profundidad es important para proteger una empresa moderna», dijo. «Cuando comienza a intentar detectar solo el ransomware, ha perdido cinco o seis oportunidades diferentes de interdicción (para detener el ataque)».

Si bien está ganando más adeptos, el marco de ATT & CK no se detiene. MITRE está incorporando rápidamente los comentarios de los profesionales al esfuerzo, adoptando un mayor número de sub-técnicas para profundizar en las técnicas de ataque populares y adaptando la taxonomía ATT & CK a las amenazas en la nube también.

La suma de sub-técnicas al marco ATT & CK de MITRE es combatir la granularidad desigual en las categorías de técnicas de ataque. Algunas técnicas de atacantes, como el volcado de credenciales y la ejecución de código en el arranque, son muy amplias y abarcan una variedad de ataques técnicos, mientras que otras técnicas, como la desactivación de puertos o las vulnerabilidades de escalada de privilegios, tienen pocas o ninguna sub-técnica.

Reasignar la inteligencia de amenazas a las sub-técnicas requiere un esfuerzo significativo, dijo Brian Donohue, un evangelista de la firma de inteligencia de amenazas Crimson Canary, en una presentación en la conferencia. Crimson Canary se embarcó en un esfuerzo significativo de reasignación y descubrió que es difícil automatizar completamente el proceso. En specific, se necesitan analistas humanos para reasignar las técnicas de comportamiento porque es un arte, no una ciencia, dijo.

«Pensamos ingenuamente que el código haría todo el trabajo por nosotros. Rápidamente fuimos desengañados de esa noción», dijo. «Una vez que llegas al punto en que vas a tener que hacer una revisión humana en algún nivel, tienes que decidir si quieres dividir y conquistar o hacerlo como un equipo pequeño o particular person».

En un ejemplo, la compañía encontró dos sub-técnicas relacionadas con el camuflaje de código malicioso, ya que el proceso común «svchost.exe» necesitaba moverse a otra categoría de ATT & CK, inyección de proceso, un esfuerzo significativo pero que impulsó la categoría al No. 1 lugar con 35% de organizaciones afectadas. Entre el malware que utiliza la técnica se encuentra la omnipresente operación TrickBot.

Las empresas que utilizan el marco de ATT & CK deben enumerar todas las herramientas y procesos que dependen de ATT & CK antes de un esfuerzo de reasignación, dijo Donohue. Un equipo obtendrá la reasignación más rápido pero será menos consistente, mientras que un equipo pequeño se mantendrá consistente pero el esfuerzo de reasignación llevará más tiempo. La empresa recomendó crear una guía de estilo y crear un equipo de revisión.

Otro problema son los ejemplos de clasificaciones ATT & CK de amenazas reales que pueden usarse para entrenar analistas de amenazas. El esfuerzo de Temple College resuelve algunos de esos problemas. El esfuerzo de la universidad requería datos reales sobre la clasificación ATT & CK de los ataques de ingeniería social, por lo que dos investigadores crearon conjuntos de datos a partir de informes públicos, incluidos 623 incidentes de ingeniería social y 747 incidentes de ransomware de infraestructura crítica. Los investigadores de la industria y el gobierno solicitaron repetidamente utilizar los datos y les pidieron a los investigadores que mapearan los conjuntos de datos con ATT & CK de MITRE, dijo Rege de Temple.

El esfuerzo subrayó que el marco ATT & CK aún necesita más esfuerzos para clasificar las amenazas: solo el 56% de las cepas de ransomware se asignaron a amenazas conocidas clasificadas por el marco ATT & CK, por lo que las principales cepas de ransomware no se incluyeron en los conjuntos de datos y menos de una cuarta parte de los ataques se asignaron a atacantes específicos, como Lazarus y otros grupos.

El enfoque en los ataques de ingeniería social y el marco de ATT & CK subraya que enseñar a los estudiantes sobre ciberseguridad no se trata solo de soluciones técnicas, dijo Rege.

«Estamos entrenando a los científicos informáticos para que piensen realmente en ellos», dijo. «Esta es la fuerza laboral de la próxima generación de científicos informáticos que serán desarrolladores y defensores que pensarán en usar estos marcos no solo para el aspecto técnico, sino en los dominios humanos».

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET Information.com, Dim Studying, MIT&#39s Engineering Evaluate, Common Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia authentic