Infosecurity México
9-10 agosto, 2022
Virtual

MITRE Engage: Aplicando Estratégicamente el Enfoque del Deception

La recién anunciada matriz Engage por la organización MITRE es un marco para planificar y discutir las operaciones para confrontar a los adversarios y habilitar el empoderamiento de las organizaciones para abordarlos con éxito y que estas logren sus objetivos de ciberseguridad.

MITRE Engage busca ayudar al defensor, al innovador de primera línea, a reducir la barrera de entrada y elevar el techo de experiencia para aquellos que buscan utilizar tecnologías de confrontación o de "enganchamiento" del adversario. A diferencia de muchas otras tecnologías defensivas, MITRE cree que las tecnologías bajo el enfoque del engaño cibernético o "Cyber Deception" no son de "instala y olvida". En su lugar, las organizaciones deberían implementar este tipo de tecnologías como parte de una estrategia intencional que las lleve hacia objetivos bien entendidos.

Como tal, Engage está diseñado para ayudar a los defensores a:

  • Confrontar de manera segura y eficaz en la negación, el engaño y el enfrentamiento del adversario. Engage busca proporcionar a la comunidad los recursos que necesita para comprender cómo usar de manera efectiva y segura las tecnologías para confrontar al adversario para cumplir sus objetivos, ya sean expertos o novatos en este rubro.
  • Impulsar el progreso y la innovación futuros. Engage espera construir una comunidad unificada de profesionales que aporten experiencia y compartan conocimientos para hacer crecer y madurar el espacio tecnológico.
  • Construir una comunidad compartida de profesionales de enfrentamiento con adversarios. Engage espera facilitar el intercambio de información y la creación de redes a medida que la comunidad crezca y madure.

MITRE Engage también tiene como objetivo ayudar a los CISOs y otros responsables en la toma de decisiones de seguridad a comprender cómo la negación, el engaño y el "enganchamiento" del adversario encajan en la estrategia de ciberseguridad actual de la organización. Engage está diseñado para ayudar a los tomadores de decisiones a:

  • Crear políticas y procedimientos para la operación segura de la red y la respuesta a incidentes. Engage introduce la planificación y la adaptación como componentes fundamentales del marco. Si bien la planificación y la adaptación son funciones del CISO, el profesional necesita actividades de conocimiento como la recopilación, la tranquilidad y la motivación que pueden conducir a la detección de incidentes.
  • Reducir los riesgos de la información y las tecnologías relacionadas. Engage establece actividades para ayudar a detectar, prevenir, dirigir e interrumpir a los adversarios. MITRE cree que el empleo de estas actividades puede apoyar la misión de reducción de riesgos.
  • Proteger la información y los activos. Mientras que las actividades de negación limitan el acceso de un adversario a la información legítima, el engaño realiza un mecanismo de protección adicional. Proporcionar información errónea sobre sistemas o datos puede disminuir la confianza o el valor de un adversario en esos activos. La disminución del valor y la confianza generalmente hará que un adversario evite esos objetos.

LA MATRIZ ENGAGE: DEVOLVIÉNDOLE LA VENTAJA AL DEFENSOR

La defensa cibernética se ha centrado tradicionalmente en el uso de tecnologías bajo el concepto de "defense-in-depth" para negar a los adversarios el acceso a las redes de una organización o a los activos cibernéticos críticos. En este paradigma, cada vez que los adversarios pueden acceder a un nuevo sistema o filtrar un dato de la red, ganan. Sin embargo, cuando un defensor introduce artefactos y sistemas engañosos, inmediatamente aumenta la ambigüedad para el adversario.

La Negación Cibernética (Cyber Denial) es la capacidad de prevenir o de perjudicar la capacidad del adversario para llevar a cabo sus operaciones. Esta interrupción puede limitar sus movimientos, esfuerzos de recolección o la efectividad de sus capacidades. El Cyber Deception revela intencionalmente hechos engañosos y de ficción para engañar al adversario. Además, oculta hechos críticos para evitar que el adversario forme estimaciones correctas o tome las medidas apropiadas. Cuando las organizaciones usan la negación cibernética y el engaño juntos, proporcionan la base del concepto de "Adversary Engagement (AE)" en el contexto de la planificación y el análisis estratégicos.

Permítame compartirle un ejemplo del mundo real: Un operador de ransomware 2.0 ejecuta de manera consistente la tradicional técnica T1069.002, haciendo uso del comando net group “Domain admins” /domain u otra herramienta como ADFind tratando de identificar las cuentas del Directorio Activo que están dentro de este grupo privilegiado del entorno. El defensor puede implementar mecanismos que por un lado oculten los recursos reales de la organización impidiendo el acceso a ellos durante la consulta (enumeración) y al mismo tiempo presentando una respuesta "engañosa" con objetos ficticos o señuelos. Este solo es un pequeño escenario que ejemplifican el valor conjunto de los conceptos descritos anteriormente para el defensor.

LA ESPERA TERMINO...

Oficialmente el pasado 28 de Febrero MITRE anunció la versión 1 de MITRE Engage reemplazando al esfuerzo inicial llamado Shield, con la intención de empoderar a los defensores bajo un nuevo "mindset" e indicándoles de manera estratégica como lograrlo. El sitio https://engage.mitre.org/ ofrece una diversidad de recursos valiosos para los defensores, tomadores de decisión y fabricantes alrededor de la implementación de la matriz. 

EL MEJOR MOMENTO PARA CELEBRAR: EL #CYBERDECEPTIONDAY 2022

El 1 de abril se celebra como el "Día de los Inocentes" en varios países del mundo, no en México por supuesto. Si bien los relatos difieren en cuanto al origen del día, el primer día de abril suele ser una oportunidad para gastar bromas pesadas a amigos, familiares y seres queridos. ¡Esta tradición es una oportunidad perfecta para garantizar que nuestras vidas digitales estén incluidas y que nadie se sienta excluido!

Ampliando la tradición, diversos líderes de la industria como SANS, MITRE, Deceptive Defense, Inc junto a otros fabricantes que cuentan con capacidades y ofrecimientos tecnológicos de “Cyber Deception”, se reunieron en dicha fecha para generar conciencia y habilitamiento global entre los ciber defensores sobre todo lo relacionado con el concepto de "engaño cibernético" o "Deception" con fines de seguridad de TI.

En un evento que contó con la participación de asistentes de todos los continentes, se brindó conocimiento y perspectivas de las experiencias con el engaño cibernético, se discutieron las ciberamenazas, las soluciones y las estrategias de mitigación aprovechando el concepto del engaño y se proporcionaron recursos e información sobre innumerables formas en que se puede incorporar el engaño en las estrategias de seguridad de TI.

Independientemente de cuán maduro sea su programa de seguridad existente, el engaño cibernético aborda de manera efectiva muchos de los escenarios inaceptables, de importancia crítica y únicos para cada organización… los típicos ¿qué pasa sí…?

 

Los recursos disponibles para la comunidad pueden ser consultados aquí:

Juan Carlos Vázquez tiene 7 años de experiencia en implementación y diseño de tecnologías de Defensa Activa y puede seguirlo en twitter como @jc_vazquez.