Cómo iniciar con MITRE ATT&CK dentro del sector financiero
En los últimos años hemos presenciado como la tecnología ha avanzado convirtiendo el sistema financiero de operaciones tardadas o largas filas en las cajas de los bancos a un sistema totalmente automatizado. Todo ese avance tecnológico que nos ha ayudado a optimizar el tiempo de respuesta en una ventanilla, ahora podemos realizarlo en segundos desde nuestros dispositivos, Este avance trajo consigo 2 entes; uno son las Fintech y el otro el aumento de ciberataques por parte de los ciberdelincuentes; a lo que respecta a las Fintech han dado un giro de 180° a la industria poniendo servicios al alcance de unos clics.
¿Qué nos cuenta la historia? Primero que los ladrones estaban mejor preparados que los Bancos en asunto de la seguridad, sí lo traducimos a nuestra época los ciberdelincuentes siguen estando mejor preparados que el sector financiero y nos han dado grandes golpes como hace un par de años donde los intrusos se llevaron entre 300 y 400 millones de pesos [1] Pero también la historia sirve para aprender a no cometer los mismos errores y justo ahí es donde entra Mitre Att&ck.
¿Cómo es que Mitre Att&ck entra en todo esto?
Esa es una pregunta fácil de responder y la realizaré de la siguiente forma: primero, debemos conocer la diferencia entre Visibilidad vs Detección, veamos un ejemplo (no técnico), montar un muro de 5 metros alrededor de una casa, levantar una barda varios metros, o en el caso de México, en lugar de poner alambre de púas, se ponen botellas de vidrio rotas, creemos tener la certeza de tener seguridad en la casa; sin embargo, primero no tenemos la suficiente visibilidad a nuestro alrededor para poder montar guardia en el perímetro de la casa y segundo tampoco se podría detectar una intrusión, porque para detectar algo debemos verlo primero. Entonces se preguntarán, ¿de qué sirven las soluciones que nos venden para defendernos? - Tendremos que verlo por partes.
Parte I
Saber qué tipo de amenazas podemos tener basándonos en: sector, tipo de instrumento, ¿cómo llegamos al cliente final?, si es por medio de alguna aplicación, ¿qué tipo de desarrollo tenemos?, ¿qué usamos en nuestra infraestructura (Windows, Linux, MAC) ?, en general tener una radiografía de todo el negocio
Mitre Att&ck tiene una excelente base de conocimientos en la que nos podemos apoyar, una vez conociendo el negocio, Mitre Att&ck puede darnos un panorama para saber por dónde comenzar a ajustar nuestra infraestructura, veamos un ejemplo:
Dentro de la página de Mitre Att&ck (https://attack.mitre.org/), podemos buscar por grupos, técnicas, sectores, etc. Todo lo que necesitemos para armar nuestra matriz (Figura 1 -Búsqueda de sector), esta simple búsqueda ya nos da bastante información que digerir y se puede ser más específico. Y ahora, ¿cómo podemos utilizar está información? Para ello vamos a utilizar Att&ck Navigator, en él introduciremos algunas variables que nos arrojó la búsqueda, por ejemplo, los grupos y crearé en total 3 en modo de ejemplo, (Figura 2. Grupos involucrados según sector), donde logramos ver que técnicas han sido utilizadas por estos grupos.
[1] (Fuente: “El expansion - https://expansion.mx/economia/2018/05/18/caso-spei-la-cronologia-del-hackeo-al-sistema-financiero-mexicano”).
La siguiente pregunta es: De acuerdo con esas técnicas, ¿qué tanta visibilidad y detección tenemos? Existen herramientas que nos pueden ayudar a realizar un modelado con la finalidad de que al último se pueda hacer un comparativo Visibilidad / Detección vs Técnicas detectadas. Veamos un ejemplo de cómo se ve la parte de Visibilidad y Detección. (Figura 3 -Visibilidad y Figura 4 -Detección), hagamos una comparación, tenemos que en Initial Access podemos ver Driver-by Compromise y una de las técnicas más usadas es Valid Accounts, este es un elemento del cual tenemos poca visibilidad y nada de detección. La idea central es ir analizando cada uno de estos puntos con el fin de fortalecer la infraestructura de tal manera que se tenga buena visibilidad y detección a ataques conocidos; como dice el refrán, “Conócete a ti mismo y mejórate “, no es una tarea sencilla, pero tienes beneficios, la labor no termina ahí, veamos la segunda parte
Parte II Es importante conocer las debilidades y fortalezas de nuestro personal tanto de infraestructura como de seguridad; ya que ambos no deberían de ser la misma persona o el mismo grupo, si queremos buenos resultados debemos dividir estás 2 áreas para poder hacer equipo; como diría Julio Cesar, ‘Divide y vencerás’.
El factor humano es tan importante como la infraestructura, el que estén divididos no exime a los integrantes a que tenga una buena relación entre los que componen el área de TI, esto hace un departamento fuerte.
Piensa como Red Team y actúa como Blue Team
Después de un poco de preámbulo ¿Cómo encaja Mitre Att&ck en todo esto? Basado en los hallazgos encontrados en la Matriz tendremos una oportunidad de mejora en el equipo de TI, tanto infraestructura como seguridad podemos cerrar brechas de seguridad replanteando como seguir adelante aun cuando podemos tener algún riesgo de seguridad, formulando un plan de acción preciso y a contra reloj (Figura 5 -Plan de acción) y justo en este momento es donde tiene coherencia el título de este articulo; ya que es importante preparar al equipo con todas las posibilidades de ataque en un entorno Red Team para tomar acciones que ayuden a detectar y mitigar estos ataques y así poder evaluar los impactos de tal forma que el negocio continúe.
Cierro está sección agradeciendo primeramente el espacio esperando que haya sido de su agrado e invitándolos a descargar nuestro e-book “Criminales del sector financiero – conoce a tu enemigo”