Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
Ideas, información y conocimientos compartidos por el equipo
de Investigación, Desarrollo e Innovación de BASE4 Security.
volver
POR:
Federico Pacheco
(I+D+i Manager)
COMPARTIR
MITRE Engage: La mejor defensa es un buen ataque
En la defensa cibernética tradicional, el atacante solo necesita acertar una vez para ganar, pero con los nuevos enfoques defensivos, el atacante solo necesita equivocarse una vez para perder. MITRE Engage es un framework que ayuda a planificar y discutir las llamadas "operaciones de enfrentamiento contra el adversario" que permitan abordar esta nueva aproximación de la ciberseguridad defensiva. Veamos de qué se trata todo esto.
Los ciberatacantes parecen tener ventajas sobre los que se defienden, pueden elegir el momento, el lugar y la técnica, mientras que los defensores deben repeler cada ataque al momento que ocurren. Para esto, la ciberseguridad moderna cuenta con la defensa activa, que plantea un nuevo paradigma para la protección, y abarca desde capacidades básicas de defensa hasta operaciones de engaño y confrontación con el adversario. Esto permite a las organizaciones contrarrestar ataques actuales, y aprender sobre el ataque para poder estar mejor preparada a futuro. En palabras de un viejo adagio: la mejor defensa es un buen ataque. Y de eso se trata MITRE Engage .
La protección en las organizaciones se basó históricamente en el concepto de defensa en profundidad para evitar el acceso del adversario a los sistemas y activos críticos, de tal forma que cuando el atacante logra acceder a un sistema o información, gana. Un enfoque defensivo más moderno implica introducir artefactos y sistemas de engaño, que produzcan ambigüedad para el atacante. Así, se busca aumentar el costo de operación de ataque, intentando así disuadir a la contraparte. Esto da lugar a la ciberdenegación, que se refiere a poder exponer, prevenir o perjudicar la capacidad del oponente, y puede derivar en limitar sus movimientos y esfuerzos de recolección, o su efectividad. El ciberengaño, por su parte, revela intencionalmente hechos ficticios para confundir al adversario, además de ocultar factores críticos para evitar que realice estimaciones correctas. Cuando se utilizan en conjunto, ambas ideas proporcionan la base de lo que se denomina Compromiso del Adversario, dentro del contexto de la planificación y el análisis estratégicos. s
Una operación exitosa de enfrentamiento contra el adversario contiene 4 elementos: narrativa, entorno, monitoreo y análisis. La narrativa es la historia que se pretende retratar, el entorno es el conjunto de sistemas de compromiso, el monitoreo es el sistema de recopilación para observar los movimientos, y el análisis son las acciones para convertir los resultados de la operación en inteligencia procesable. Estas operaciones brindan oportunidades para que el defensor demuestre herramientas, pruebe hipótesis y mejore sus modelos de amenazas.
MITRE Engage plantea un proceso de 10 pasos que ayuda a considerar las actividades realizables, que a su vez se organiza en 3 fases: Preparar, Operar y Comprender. En la primera se define el objetivo operativo, en la segunda se implementan y despliegan las actividades diseñadas, y en la tercera se busca aprovechar los resultados para producir inteligencia. El núcleo de la estrategia de interacción se plantea en base a la Matriz de Compromiso, que es una referencia para debatir y planificar las actividades antedichas, aplicando el proceso teórico de los 10 pasos a las operaciones reales. En dicha matriz, la operación se divide en 3 etapas: exponer, afectar y obtener. Además, Engage está vinculado a cada técnica del framework MITRE ATT&CK para examinar las debilidades reveladas.
Planteado en un ciclo continuo, Engage propone 4 partes: recopilación de datos en crudo, análisis de los datos en relación a la información conocida, identificación de oportunidades de compromiso, e implementación de las acciones. Finalmente, el framework propone un lenguaje común para que las referencias sean precisas, como es de esperarse en un contexto altamente técnico.
El pasado 28 de febrero se publicó la versión V1 de MITRE Engage , que en agosto de 2021 lanzó su beta en DefCon Packet Hacking Village, y desde entonces recibió feedback de toda la comunidad de ciberseguridad. Tanto es así que retrasaron el lanzamiento formal para poder incluir dichos aportes. Con esta nueva iniciativa, la organización MITRE continúa produciendo frameworks de gran calidad que se transforman en referencias de facto para la industria, y generan conversaciones entre profesionales que nutren a la comunidad de ciberseguridad.