Infosecurity México
22 y 23 de Octubre 2024

MITRE Shield y la Defensa Activa

En el pasado mes de septiembre la organización sin fines de lucro MITRE y quien es familiar en el medio de la seguridad informática por el reconocido “ATT&CK” (tácticas, técnicas y conocimiento común de adversarios), la cual es una herramienta muy apreciada en la comunidad de inteligencia de ciberamenazas para modelar las mismas incluyendo las tácticas y técnicas empleadas por adversarios observadas en el mundo real, ha lanzado Shield.

Shield es una base de conocimientos en forma de matriz igualmente gratuita que captura las capacidades que rodean la Defensa Activa y el enfrentamiento con adversarios, dicho de manera simple que ayudará a los expertos en ciberseguridad y al “defensor” a tomar medidas proactivas para defender sus redes y activos.

Esta primera versión adopta un enfoque similar a lo que hace MITRE ATT&CK® para la ofensiva, aunque en este caso, presenta la información sobre los conceptos de defensa activa. Aprovecharlos juntos permite a las organizaciones crear una defensa activa para abordar mejor a los adversarios.

Desde la perspectiva de un defensor, la matriz ATT&CK proporciona un modelo de datos de cómo se debe proteger su empresa contra las amenazas de ciberseguridad. Mientras tanto, la matriz Shield proporciona las capacidades que un defensor debe desarrollar para una Defensa Activa y el hacer frente o “enganchar” al adversario en una situación posterior a la brecha; es decir durante la intrusión en desarrollo. Asuma que sus defensas serán evadidas y necesita mecanismos de defensa adecuados para detectarlos, retrasarlos, desviarlos y contenerlos lo más tempranamente posible.

 

La Matriz Shield

MITRE utiliza la definición de Defensa Activa del Departamento de Defensa de los Estados Unidos como "El empleo de acciones ofensivas limitadas y contraataques para negar un área o posición en disputa al enemigo". La matriz Shield enumera las capacidades que ayudan a una empresa a cambiar el hecho, de hacer frente a un ataque de un juego a la defensiva a uno a la ofensiva. Estas capacidades van desde esquemas básicos de defensa cibernética hasta operaciones de engaño cibernético o “Cyber Deception” y del “engagement” del adversario.

El engaño cibernético o Cyber Deception ha sido reconocido durante mucho tiempo por su capacidad para crear una defensa activa, sin embargo Shield; abarca otras técnicas más allá de aquellas relacionadas con el concepto tradicional de “señuelos”.

MITRE Shield categoriza la base de conocimientos de las capacidades de Defensa Activa a través de una matriz de Tácticas (el objetivo que el defensor está tratando de lograr) y Técnicas (medios para lograr dicho objetivo) con la meta de construir las estrategias de Defensa Activa.

Cada técnica corresponde a una capacidad básica que una empresa podría utilizar para dicha estrategia. MITRE Shield clasifica estas técnicas en ocho tácticas diferentes etiquetadas de la siguiente manera:

  • Canalizar
  • Recopilar
  • Contener
  • Detectar
  • Interrumpir
  • Facilitar
  • Legitimar
  • Probar

Cambio de Paradigma del Defensor

MITRE Shield como guía de Defensa Activa basada en la participación del adversario y de las lecciones aprendidas, permite entender:

  • La manera de atacar de los adversarios
  • Las herramientas que estos usan
  • Qué hacen después de establecer “presencia” en la infraestructura de la entidad
  • Lo que buscan en última instancia

La matriz ayuda a contrarrestar los patrones de ataque conocidos, así como permite que los defensores conozcan a los adversarios que los atacan y para prepararse mejor para los ataques en el futuro. En total, Shield cubre 33 técnicas y 190 casos de uso tomados de la experiencia de MITRE para defender la red de los adversarios.

En lugar de simplemente detectar y erradicar a los atacantes de la red, Shield se centra en la defensa activa. La matriz señala que hay mucho que aprender de los atacantes y que involucrarlos activamente dentro de la red puede crear valiosas oportunidades de aprendizaje. Dado que la tecnología de engaño o Deception es una tecnología de defensa activa conocida por su eficacia para involucrar a los atacantes y generar inteligencia de adversario para los defensores, Shield dedica una cantidad considerable de tiempo y esfuerzo a tácticas y principios de engaño.

El valor de alinear la tecnología de engaño y ocultación con Shield

Las tecnologías de engaño y ocultación se distinguen de otras medidas de defensa activa, en que van más allá del uso de técnicas de señuelo para lograr la prevención y detección de ataques. El engaño desvía de manera proactiva a los atacantes lejos de sus objetivos utilizando cebos o carnadas y otra información falsa, guiándolos hacia los señuelos o trampas y, en última instancia, hacia un entorno de engaño que permite aislarlos de forma segura y recopilar inteligencia del adversario. El ocultamiento, por otro lado, realiza la tarea complementaria de ocultar objetos reales para que un atacante ni siquiera pueda verlos, y mucho menos borrarlos, alterarlos o manipularlos. 

Ejemplo 1: Imagine que un operador de ransomware (ej. Ryuk) durante la fase de “Descubrimiento” como parte de su “playbook” realiza la típica enumeración de los recursos del Directorio Activo (T1018) con herramientas como “AdFind o “nltest” y simplemente no se le muestra nada o se le altera la respuesta que incluye información real del entorno con información falsa.

Como lo mencionamos previamente, Shield divide estas tácticas en ocho grupos y dentro de cada una de esas categorías, hay formas específicas en las que se puede utilizar la tecnología de engaño:

  • Canalizar: el engaño puede canalizar a los adversarios lejos de los sistemas importantes y hacia los sistemas señuelo, lo que hace que el adversario pierda tiempo y recursos, descarrile el ataque y aumente su costo.
  • Recopilar: ​​los defensores pueden usar técnicas engañosas para estudiar al atacante en acción, recopilando información sobre sus comportamientos y tácticas.
  • Contener: al interactuar con un entorno de engaño, las actividades del atacante permanecen contenidas dentro de los límites específicos del entorno y lejos de los activos de producción.
  • Detectar: ​​a diferencia de las defensas perimetrales, la tecnología de engaño detecta intrusos dentro de la red y captura las tácticas, técnicas y procedimientos del adversario (TTP) tanto en el punto final como en el señuelo (trampa).
  • Interrumpir: proporcionar contenido engañoso a los atacantes afectará su capacidad para lograr sus objetivos, sean los que sean.
  • Facilitar: El engaño ayuda a facilitar el ataque a lo largo de ciertas líneas, lo que lleva a los atacantes a creer que han cumplido una parte de su misión al crear un sistema de señuelo "vulnerable" para que el atacante apunte.
  • Legitimar: el engaño hace creer a los atacantes que los señuelos (trampas, cebos, migalas de pan) y desvíos son reales. Agregar autenticidad a los componentes engañosos es un elemento esencial para ser objetivos atractivos para el atacante.
  • Probar: interactuar con atacantes significa probarlos para determinar sus intereses, capacidades y comportamientos para detener los ataques actuales y futuros.

De las 33 técnicas de defensa cubiertas dentro de estas ocho categorías de tácticas, la tecnología de engaño y ocultación permite implementar 27 de ellas, mientras que el engaño solamente cubre alrededor de 10. Esta diferencia subraya la importancia de la tecnología de ocultación, no solo de engañar a los intrusos sino de negarles el acceso a los datos y activos que buscan. Términos como “redes señuelo”, “personas señuelo”, “sistemas señuelo”, “cuentas señuelo”, “credenciales señuelo” y otros ocupan un lugar destacado en toda la matriz de MITRE Shield, lo que vuelve a subrayar el papel vital que desempeñan las tecnologías de engaño y ocultación en la identificación y detención de los ciberdelincuentes actuales.

Figura 1. Matriz de MITRE Shield (idioma original)

La matriz destaca varios casos de uso específicos que pueden ser aplicados rápidamente, donde al crear una cuenta señuelo, los defensores pueden atraer a los adversarios para que interactúen con esa cuenta de una manera que revele información sobre sus tácticas, objetivos e incluso las herramientas que están usando. Del mismo modo, la siembra de un sistema objetivo potencialmente de alto valor con credenciales señuelo, como nombres de usuario, contraseñas y tokens falsos, puede permitir a los defensores esencialmente esperar a los atacantes. El defensor estará atento para recibir una alerta cuando un intruso intenta acceder a un recurso específico o usar un conjunto de credenciales ficticias. Al colocar señuelos en toda la red, los defensores pueden interactuar activamente con los atacantes de formas nuevas y significativas.

Imagine que toda su red se vuelve en un campo minado, pero no solamente mediante el uso de “sistemas decoys” o trampas auténticas, sino que sus activos productivos (servidores, estaciones de trabajo, entornos de nube) posean la capacidad de ser una trampa más y que al primer “movimiento en falso” del atacante, es detectado, analizado y contenido en el acto.

No perdamos de vista que el atacante no llega a una red porque comprometió una trampa, sino un activo real y aquí el papel fundamental del defensor es detectar desde ese punto el movimiento del adversario para que se redirija a una trampa. Entornos que solo radican en el uso de “decoys” a nivel de red, pero no en los puntos finales e incluso servidores, son arquitecturas “incompletas” que asumen el compromiso y donde el defensor tendrá suerte si la amenaza cae en una de esas trampas de manera fortuita. La Defensa Activa es fundamental que exista en el los puntos finales productivos.

Mapeando los grupos de adversarios vs MITRE Shield

Los defensores que buscan reforzar sus protecciones dentro de la red y mejorar su capacidad para recopilar información valiosa sobre el adversario, deben examinar cómo su enfoque actual de seguridad se alinea o no con la matriz Shield.

En el pasado diciembre, MITRE anunció una de las aplicaciones más poderosas de MITRE Shield, que consiste en que los defensores puedan “mapear” a los grupos particulares de adversarios (ej. APT1, APT28, Lazarus, etc.) y adaptar técnicas de defensa activa específicas para contrarrestar las TTP asociadas en el ATT&CK que estos utilizan.

Ejemplo 2: FIN7 es un grupo o adversario conocido con motivaciones financieras que se ha dirigido principalmente a los sectores minorista, de restaurantes y hoteleros de EE. UU. desde mediados de 2015.

Una técnica del ATT&CK empleada por este adversario es:

·        T1053 - Scheduled Task/Job

Como técnica de Defensa Activa correspondiente a Shield se puede emplear la:

·        DTE0017 - Decoy System,

donde el caso de uso es que el defensor pueda configurar un sistema señuelo con restricciones limitadas para ver si el adversario crea o modifica tareas programadas para lanzar su malware.

Ser proactivo en sus implementaciones de estrategias defensivas es la forma en que se puede estar por delante del adversario y para ello es importante conocer su manera de operar y aprovechar la ventaja de las recomendaciones directas que le ofrece MITRE Shield.

 Los Adversarios están evolucionando constantemente sus TTPs, por eso es momento de cambiar la asimetría a favor del defensor con este conocimiento a su disposición.

Si desea conocer más acerca de MITRE Shield, puede visitar el sitio dedicado https://shield.mitre.org/ así como su blog https://medium.com/mitre-shield.

Juan Carlos Vázquez tiene 6 años de experiencia en implementación y diseño de tecnologías de Defensa Activa y puede seguirlo en twitter como @jc_vazquez.