24 abr 2018

Threat Emulation y TTPs

Una parte crucial de la Simulación de Adversarios en ciberseguridad es la utilización de TTP’s que usan los actores maliciosos reales. 

El concepto de TTP origina en la doctrina militar, y es acrónico de Tácticas, Técnicas y Procedimientos. Sin entrar en una descripción concreta de cada uno de los términos, sí que es importante entender a alto nivel dos conceptos clave:
  • Las TTP sirven para caracterizar el modus operandi de un determinado adversario en el plano cyber, y para ello, describen qué es lo que hace y cómo lo hace. 
  • Todos son descriptivos en su naturaleza, pero el nivel de especificación aumenta progresivamente. Así, las Tácticas son menos específicas que las Técnicas, y estas a su vez son menos específicas que los Procedimientos. En cierto modo, se comportan como una pirámide en la que cada nivel sirve para soportar al que tiene justo encima de él. 



Por ejemplo, una Táctica podría ser la obtención de un acceso inicial a la organización sin explotación de vulnerabilidades. Como vemos, es un concepto bastante genérico. Bajando un poco de nivel nos encontraríamos las Técnicas, que describen métodos de conseguir ese objetivo. En nuestro ejemplo, una técnica podría ser el uso de ataques de Spearphishing. Finalmente nos encontramos con los Procedimientos, que describen cómo el actor malicioso realiza la técnica paso a paso. Por ejemplo, el procedimiento podría ser recopilar información del sujeto a atacar, registrar un dominio parecido al de la organización, y mandar un email incluyendo un enlace que lleva a un clon de un portal corporativo con el objetivo de robar credenciales en claro que posteriormente se usarán para el acceso a la organización. 

Una parte esencial de la Simulación de Adversarios consiste en replicar con la mayor precisión posible a un actor malicioso concreto, y esto nos fuerza a conocer sus TTPs y nos restringe dentro de ese comportamiento. Utilizando estos conceptos podemos simular amenazas avanzadas dentro de nuestra organización y evaluar nuestras capacidades de detección y respuesta

En próximas entradas haremos hincapié en otro motivo por el cual es tan importante hacer uso de TTPs para afinar nuestros procedimientos de detección y respuesta ante amenazas.

Fuente: https://blog.zerolynx.com/2018/04/threat-emulation-y-ttps.html

en
Etiquetas: ,

No hay comentarios:

Publicar un comentario

Suscribirse a: Enviar comentarios (Atom)