¿Estás interesado en conocer más acerca del asesoramiento de ciber threat intelligence? En Seven Ice te explicaremos todo lo que necesitas saber para mejorar tu conocimiento al respecto.

En este artículo te mostraremos un extracto sobre conceptos como definición CTI y como aplicarla a tus equipos de trabajo. Primero, hablemos acerca de qué es CTI. No existe un concepto de diccionario del mismo, no obstante que podemos señalar que se trata de la recopilación, análisis y distribución de información sobre amenazas cibernéticas, las cuales pueden provenir desde el interior de la organización o de fuentes externas a la misma.

Mitre ATT&CK CTI

Cuando hablamos de CTI en Seven Ice nos alineamos a los conceptos de Mitre ATT&CK, pero esto no es simple casualidad, sino se fundamenta en el hecho narrado por David Bianco en la pirámide del dolor, el cual considera que las TTPs (Tácticas, Técnicas y Procedimientos) son lo más costoso para cambiar por parde de un atacante. Por su lado Mitre ATT&CK con el programa de CTI busca proporcionar a las organizaciones la información necesaria para protegerse de las amenazas cibernéticas.

El programa se basa en el marco de trabajo de MITRE ATT&CK, que es una base de conocimiento globalmente accesible de tácticas, técnicas y procedimientos adversas basadas en observaciones del mundo real. El programa CTI proporciona a las organizaciones inteligencia accionable sobre las tácticas, técnicas y procedimientos utilizados por diferentes tipos de adversarios, así como información sobre las herramientas e infraestructura que utilizan.

Uno de los componentes clave para el éxito de un CTI es el desarrollo de «planes de emulación de adversarios», los cuales están diseñados para simular las tácticas y técnicas utilizadas por adversarios específicos. Estos planes se pueden utilizar para evaluar las capacidades de respuesta a incidentes de una organización y identificar vacíos en sus defensas. Además, el programa CTI incluye el desarrollo de «planes de detección y respuesta» que proporcionan a las organizaciones orientación sobre cómo detectar y responder a tácticas y técnicas específicas utilizadas por los adversarios. Sobre esta materia hablaremos latamente en el apartado del servicio de emulación de ataque en Red Team.

El programa MITRE CTI también proporciona a las organizaciones información sobre las herramientas e infraestructura utilizadas por los adversarios, tipos de software, etapas de implementación del ataque, entre otra información importante para un CTI externo exitoso. Esta información se puede utilizar para detectar y interrumpir las actividades de adversarios específicos, así como para desarrollar medidas defensivas para protegerse de futuros ataques.

El programa CTI también incluye el desarrollo de una «plataforma de intercambio de inteligencia de amenazas cibernéticas» que está diseñada para facilitar el intercambio de información entre organizaciones y agencias gubernamentales. Esta plataforma permite a las organizaciones compartir información sobre amenazas cibernéticas e incidentes en tiempo real, lo cual puede ayudar a mejorar el perfil de seguridad global de la comunidad.

En resumen, el programa MITRE CTI proporciona a las organizaciones inteligencia accionable sobre las tácticas, técnicas y procedimientos utilizados por diferentes tipos de adversarios. También proporciona orientación sobre cómo detectar y responder a las amenazas ciber.

La CTI recopilada en el marco MITRE ATT&CK se divide en diferentes categorías, incluyendo:

• Tácticas: describen los objetivos generales de un ataque cibernético y las fases en las que se lleva a cabo el ataque.
• Técnicas: describen los métodos específicos utilizados para llevar a cabo una táctica.
• Subtécnica: describen los signos observables en un sistema o red que indican que se está utilizando una técnica específica.

El marco MITRE ATT&CK se basa en un enfoque basado en la matriz, donde se describen las tácticas utilizadas por los actores adversos en las diferentes fases del ciclo de ataque, y las técnicas específicas utilizadas en cada táctica.

El uso de CTI en MITRE ATT&CK ayuda a las organizaciones a crear equipos de blue team capaces de detectar y responder a las amenazas existentes y futuras, mejorar la capacidad de prevenir incidentes, y ayudar a las organizaciones a tomar decisiones informadas sobre cómo protegerse contra las amenazas cibernéticas.

Métodos de Uso

Con la finalidad de poder detectar el CTI interno de una organización es que podemos utilizar la matriz de Mitre ATT&CK, ya que en ella observamos las diversas tácticas con sus técnicas y subtecnicas desplegadas para la visualización respecto de cada uno de los activos de la información que se quieren proteger.

Una vez tenida dicha información podemos observar cuales son los posibles ataques desplegados por ataques anteriormente conocidos, los cuales se encuentran divididos por grupos de atacantes, y en sus descripciones las tácticas, técnicas y subtenicas utilizadas con anterioridad y esto se compara tanto con las fuentes de datos que se tienen y las que están integradas con la finalidad de comprender de manera más exacta cual es la brecha existente ante un posible ataque real.

En este aspecto se une el CTI interno, es decir de las fuentes de la organización y el externo con la información de los atacantes, y para poder realizar en este sentido una mejor analítica es que se usa CAR o Cyber Analytics Repository el cual contiene un repositorio de la técnica usada por el atacante y el análisis de la evidencia en raw, para poder generar un análisis abstracto y mejorar la hipótesis.

Conclusión

El CTI es una técnica que depende tanto de factores internos como externos de las organizaciones, y ambos factores deben ser abordados para tener una visión clara de lo que estamos defendiendo y el como están atacando quienes quieren comprometer lo que defendemos.

En nuestro servicio de CTI buscamos ser el partner para tu negocio que necesitas para poder en definitiva conocer el entorno externo a la organización y el entorno interno, mediante el uso de Mitre ATT&CK podemos apoyarte a desarrollar las mejores alternativas y al no estar comprometidos con una marca específica podemos apoyarte en la toma de decisiones de las herramientas que debes utilizar y como obtener el mejor provecho de ellas en función de la obtención de los logros de la empresa, no te olvides de la amenazas, sino mas bien ayúdanos a ayudarte a sacar el mejor provecho de lo que tienes en función de lograr un ambiente más seguro para todos.