Encuesta de retroalimentación de productos de CISA
Descripción general
CISA ha desarrollado y mantiene el accesible públicamente Herramienta de estrategias de desalojo para apoyar a los defensores cibernéticos durante las fases de contención y desalojo de respuesta a incidentes (Ir). La herramienta comprende:
Playbook-nguna aplicación web para operaciones de próxima generación; y
Abogadouna base de datos de contramedidas atómicas posteriores a la compromiso mapeada a tácticas, técnicas y procedimientos adversarios (TTP).
Juntos, Playbook-NG y Coun7er pueden ensamblar un plan de desalojo sistemático que aprovecha distintas contramedidas para contener y desalojar una intrusión única. CISA ofrece PlayBook-NG y Coun7er al público bajo el Licencia de código abierto del MIT para alentar el desarrollo. CISA diseñó Playbook-NG y Coun7er para acelerar sustancialmente la creación de planes de respuesta y ayudar a los defensores con estrategias de desalojo adversarios a medida. Los usuarios pueden exportar los resultados de sus entradas, pero la herramienta de estrategias de desalojo no está abierta para que los usuarios lo alteren. CISA mantendrá PlayBook-Ng y Coun7er en la herramienta de estrategias de desalojo Página de Github y da la bienvenida a los comentarios de los usuarios a través de nuestro anónimo encuesta de productos.
Nota: La comunidad de ciberseguridad a menudo usa los términos «erradicación» y «desalojo» indistintamente para describir el proceso de eliminar un actor de amenaza cibernética o un código malicioso de un entorno comprometido. El Marco del Ciberseguridad del Instituto Nacional de Normas y Tecnología (NIST) utiliza el término «erradicación» para describir cómo los respondedores eliminan los mecanismos de malware o de persistencia. Otras publicaciones de ciberseguridad utilizan el término «desalojo» para enfatizar la eliminación deliberada de un actor de amenaza a través de un esfuerzo coordinado para evitar la reingreso o las represalias. Aunque ambos términos describen la eliminación de la amenaza, el «desalojo» enfatiza un enfoque estratégico, consciente de los actores y la «erradicación» se centra en eliminar los artefactos técnicos.
La aplicación web de Playbook-NG
La próxima generación de libros de jugadas cibernéticos, Playbook-ng Es una aplicación de datos o de sesión de retención (es decir, no retener entre usos) que los defensores cibernéticos pueden usar para hacer coincidir los hallazgos de incidentes con contramedidas para la contención y el desalojo adversario.
Un ciber defensor proporciona la interfaz de Playbook-NG MITOR THE Y CK® TTP IDS o texto libre que describe las actividades del actor de amenaza en activos comprometidos.
Playbook-NG luego proporciona una lista correspondiente de acciones de respuesta recomendadas.
El defensor cibernético puede exportar los resultados en numerosos formatos, como JSON, Microsoft Word y Excel, y Markdown. Nota: Playbook-NG no guarda información sobre el ciberfensor ni sus entradas; Más bien, la aplicación borra el trabajo cuando el defensor navega o borra el libro de jugadas. Cuando el defensor exporta un libro de jugadas de archivos JSON, luego puede cargarlo nuevamente en Playbook-ng para ver, modificar y actualizar. Esto permite que Playbook-NG actualice cualquier contramedida que haya cambiado desde la última visita del defensor, al tiempo que permite al defensor la capacidad de actualizar los planes con nuevos hallazgos en minutos.
Playbook-NG también permite a los defensores cibernéticos comenzar con una plantilla de incidente que CISA creó y seleccionó. Estas plantillas describen colecciones específicas de TTP en una campaña o evento que un defensor cibernético puede usar como está o personalizar rápidamente. Playbook-NG proporciona un conjunto ágil de orientación que sigue a un modelo de «escribir una vez, compartir muchos» de estrategias defensivas. Los autores pueden hacer referencia a estas estrategias para ayudar a redactar otras publicaciones. Vea «Citando una contramedida» a continuación.
Además de proporcionar orientación en una crisis en vivo, Playbook-NG puede ayudar a generar planes realistas para escenarios de ejercicio de mesa (TTX). Los defensores cibernéticos pueden usar fácilmente la funcionalidad de extracto de texto de Playbook-NG para pegar en un informe con IDS TTP y generar un libro de jugadas para usar en una discusión de ejercicios.
La base de datos Cout7er de medidas defensivas
Playbook-ng saca entradas de Abogadouna base de datos de contramedidas y mitigaciones posteriores a la compromiso. Coun7er es una colección investigada y curada de acciones atómicas que los respondedores de incidentes pueden contener y desalojar a los actores de amenaza cibernética y sus operaciones de redes y activos. Sirviendo como una piedra de Rosetta de las medidas defensivas, Coun7er referencia cruzada sus contramedidas con múltiples marcos, incluida la Miter’s Eso y ck, D3fendy Enumeración de debilidad común (CWE)—Se los alinea con las mejores prácticas preventivas informadas por las amenazas cuando corresponda. El catálogo Coun7er actual contiene más de 100 entradas completamente desarrolladas.
Cada entrada Coun7er contiene la siguiente información:
Resultado previsto: El efecto que esta contramedida tiene en los adversarios; el Resultado previsto Respuestas: «¿Por qué queremos hacer esto y qué nos daría como defensores?»
Preparación: Las acciones necesarias para tomar antes de implementar con éxito la contramedida.
Riesgos: Las advertencias y consideraciones sobre la implementación de la contramedida, que informan el cálculo de riesgos de la organización y la planificación de IR.
Guía: Procedimiento básico y orientación del proceso para implementar la contramedida.
Contramedidas relacionadas: Otras entradas en Coun7er que tienen los mismos resultados o similares; El defensor puede usarlos si necesitan pivotar a otra contramedida.
Referencias: Fuentes autorizadas para procedimientos y tecnología común relacionadas con esta mitigación.
Coun7er: actualizado regularmente de la inteligencia de amenazas cibernéticas
CISA revisa regularmente la base de datos Coun7er y la actualiza en función de las observaciones de incidentes, la inteligencia de amenazas y otras fuentes de información sobre las tácticas de actores de amenazas. Las contramedidas se someten a un riguroso proceso de revisión para ajustarse al estilo escrito, la voz y la precisión. CISA lleva a cabo TTX internos para ejercer contramedidas y examinar los desafíos potenciales con la implementación, así como la efectividad contra las acciones adversas.
Por favor comparta sus pensamientos con nosotros a través de nuestro anónimo encuesta de productos; Agradecemos sus comentarios.
Para obtener más información, contáctenos en playbook-ng@mail.cisa.dhs.gov.
Citando una contramedida
Haga clic en los estilos a continuación para ver cómo citar una contramedida (por ejemplo, CM0002) de acuerdo con sus respectivas reglas de estilo.
Estilo de Chicago
Agencia de seguridad de ciberseguridad e infraestructura. CM0002: Disable el protocolo de bloque de mensajes del servidor (SMB). Coun7er Playbook, modificado: 15 de noviembre de 2023. https://www.cisa.gov/resources-tools/resources/eviction-strategies-tool.
Qué (7ª edición)
Agencia de seguridad de ciberseguridad e infraestructura. (2023). CM0002: Disable el protocolo de bloque de mensajes del servidor (SMB). Libro de jugadas Cout7er. Modificado: 15 de noviembre de 2023. Recuperado de https://www.cisa.gov/resources-tools/resources/eviction-strategies-tool.
Legal BlueBook (21ª edición)
Agencia de seguridad de ciberseguridad e infraestructura, CM0002: Disable el protocolo de bloque de mensajes del servidor (SMB)Coun7er Playbook (modificado: 15 de noviembre de 2023), https://www.cisa.gov/resources-tools/resources/eviction-strategies-tool.
Descargo de responsabilidad
Descargo de responsabilidad de Coun7er
Coun7er, incluida la información asociada, el libro de jugadas, las estrategias, las contramedidas, el aparato, el proceso, el producto, la orientación o cualquier otro contenido, se proporciona «tal cual» y solo para fines informativos generales. Ni CISA ni el gobierno de los Estados Unidos, ni ninguno de sus empleados, ofrecen ninguna garantía, expresa o implícita, ni asumen ninguna responsabilidad legal o responsabilidad por la precisión, integridad, idoneidad o eficacia de cualquier producción o contenido de Coun7er. Los usuarios reconocen que el uso de Coun7er puede requerir conocimiento experto y capacidades técnicas avanzadas más allá de lo que es típico para los miembros del público; y que el uso o dependencia de las contramedidas, el contenido o cualquier otra información obtenida de Coun7er puede causar consecuencias adversas, incluida la falla potencial del dispositivo o el sistema.
Los usuarios asumen todos los riesgos del uso de Coun7er, y sin limitar lo anterior, los usuarios son responsables de cualquier acción que asuman sobre sistemas y dispositivos. En ningún caso, el gobierno de los Estados Unidos, sus empleados o sus contratistas o subcontratistas serán responsables de los daños, incluidos, entre otros, daños directos, indirectos, especiales o consecuentes, derivados, resultantes o de ninguna manera relacionados con Coun7er o su uso; si se basa o no en garantía, contrato, agravio o de otra manera; si surge o no por negligencia; y si se sufrió o no una lesión o surgió de los resultados o de la dependencia de Coun7er.
Las referencias a cualquier entidad específica, producto comercial, proceso, formato de datos o servicio por nombre comercial, marca registrada, fabricante o de otro tipo, no constituyen ni implican un endoso, recomendación o favorita por CISA o el gobierno de los Estados Unidos. CISA no se hace responsable del contenido de sitios web externos, declaraciones, reclamos, representaciones u otros materiales creados o mantenidos por terceros. Todas las marcas comerciales son propiedad de sus respectivos propietarios. Los usuarios reconocen que la información dentro de CoUN7ER puede no constituir la orientación más actualizada o la información técnica y no está destinada, y no constituye asesoramiento para fines de cumplimiento, reglamentarios o legales. Los usuarios deben consultar con sus respectivos asesores y expertos en la materia para obtener asesoramiento en función de sus circunstancias individuales.
¡Comparta sus pensamientos!
Agradecemos sus comentarios sobre la herramienta de estrategias de desalojo.
Encuesta de productos de CISA