Tal i com va publicar Ooda Loop, si es pensa en tres grans empreses com, per exemple, Amazon, Google o Tesla, les dues primeres paraules que vindrien al cap són innovació i disrupció. Van interrompre les seves respectives indústries predient el futur de forma correcta. De manera similar, sempre ha planat la pregunta de si es podria predir el tipus d’incidents de seguretat que es poden esperar trobar a la seva empresa. Si la resposta és sí, es podria estalviar molt de temps i recursos en la construcció d’un marc de detecció d’amenaces. Però, com ja se sap, en el seguiment del món real, detectar un incident real és com trobar una agulla en un paller.

Normalment, els hackers fan el reconeixement d’una empresa per detectar els punts forts i els punts febles d’aquesta infraestructura. Basant-se en el resultat d’aquesta activitat, dissenyen la seva càrrega útil per tenir una probabilitat d’èxit més alta. En aquest escenari, si els defensors poden predir la tècnica d’un hacker i crear un model de detecció, llavors les possibilitats de detectar aquest tipus d’incidents i respondre-hi serien molt més ràpides.

Per construir aquest marc de predicció es necessiten, per començar, dos conjunts de dades essencials. El primer és la llista de tècniques que utilitzen els hackers per comprometre una empresa. Afortunadament, el marc Mitre Att&ck ja proporciona aquestes tècniques. El segon és cartografiar casos d’ús del Security Information and Event Management (SIEM) amb tècniques Mitre Att&ck. Això ajudarà els defensors a entendre el punt cec en les seves deteccions contra els diferents mètodes utilitzats pels pirates informàtics. Per exemple, una de les tècniques podria ser una tasca programada com a defensor: caldria buscar casos d’ús rellevants i registre adequat disponible al vostre SIEM. En aquest escenari, els registres d’incidències del Windows haurien d’estar disponibles a la plataforma SIEM i el cas d’ús de detecció hauria de buscar l’identificador d’esdeveniment del Windows 4698.

Després de l’activitat anterior, es podran conèixer les tècniques on no hi ha cobertura des del punt de vista de l’ús. Aquestes tècniques es poden mapar utilitzant la matriu de mapatge Mitre per determinar quins adversaris tindran una taxa d’èxit més alta contra qualsevol empresa. Un cop feta aquesta activitat, els defensors poden adoptar un enfocament centrat en construir múltiples models de cerca d’amenaces per detectar aquests adversaris. Aquest enfocament també ajuda a millorar la cobertura de registre d’una organització en tots els seus dispositius.

_____

Esta entrada en español / This post in English / Post en français