Tal como publicó Ooda Loop, si se piensa en tres grandes empresas como, por ejemplo, Amazon, Google o Tesla, las dos primeras palabras que vendrían a la mente son innovación y disrupción. Interrumpieron sus respectivas industrias prediciendo el futuro de forma correcta. De manera similar, siempre ha cernido la pregunta de si se podría predecir el tipo de incidentes de seguridad que se pueden esperar encontrar en su empresa. Si la respuesta es sí, se podría ahorrar mucho tiempo y recursos en la construcción de un marco de detección de amenazas. Pero, como ya se sabe, en el seguimiento del mundo real, detectar un incidente real es como encontrar una aguja en un pajar.

Normalmente, los hackers hacen el reconocimiento de una empresa para detectar los puntos fuertes y los puntos débiles de esta infraestructura. Basándose en el resultado de esta actividad, diseñan su carga útil para tener una mayor probabilidad de éxito. En este escenario, si los defensores pueden predecir la técnica de un hacker y crear un modelo de detección, entonces las posibilidades de detectar este tipo de incidentes y responder serían mucho más rápidas.

Para construir este marco de predicción se necesitan, para empezar, dos conjuntos de datos esenciales. El primero es la lista de técnicas que utilizan los hackers para comprometer una empresa. Afortunadamente, el marco Mitre Att&ck ya proporciona estas técnicas. El segundo es cartografiar casos de uso del Security Information and Event Management (SIEM) con técnicas Mitre Att&ck. Eso ayudará a los defensores a entender el punto ciego en sus detecciones contra los diferentes métodos utilizados por los piratas informáticos. Por ejemplo, una de las técnicas podría ser una tarea programada como defensor: habría que buscar casos de uso relevantes y registro adecuado disponible en vuestro SIEM. En este escenario, los registros de incidencias del Windows tendrían que estar disponibles en la plataforma SIEM y el caso de uso de detección tendría que buscar el identificador de acontecimiento del Windows 4698.

Después de la actividad anterior, se podrán conocer las técnicas donde no hay cobertura desde el punto de vista del uso. Estas técnicas se pueden mapear utilizando la matriz de mapeo Mitre para determinar qué adversarios tendrán una mayor tasa de éxito contra cualquier empresa. Una vez realizada esta actividad, los defensores pueden adoptar un enfoque centrado en construir múltiples modelos de búsqueda de amenazas para detectar a estos adversarios. Este enfoque también ayuda a mejorar la cobertura de registro de una organización en todos sus dispositivos.

_____

Aquest apunt en català / This post in English / Post en français