¿Quién es tu adversario?
El adversario en la ciberseguridad puede venir en muchas formas diferentes y con diferentes intenciones. Pueden ser un hacker, un terrorista, una amenaza interna o incluso su propio empleado.
Para combatir esta amenaza, lo mejor que se puede hacer es comprender los tipos de adversarios y sus TTP. Una forma de hacerlo es mediante el modelado del adversario basado en el marco MITRE ATT&CK®.
¿Qué es un adversario en ciberseguridad?
evaluaciones de seguridad de aplicaciones webEl adversario es la persona o grupo que está tratando de perturbar, atacar y/o dañar su organización.
El adversario puede ser un empleado deshonesto, un pirata informático externo o un actor estatal extranjero. Siempre están buscando debilidades en su sistema que puedan explotar.
El marco MITRE ATT&CK® proporciona una forma de clasificar a los adversarios y sus tácticas en una de seis categorías: Atacantes dirigidos, Atacantes oportunistas, Amenazas persistentes avanzadas (APT), Script Kiddies, Hacktivistas y Actores de estados-nación.
¿Que es MITRE ATT&CK Navigator? y como podemos usarloTienen algo en particular que tú o tu equipo de trabajo no tiene, en una palabra, Tiempo.
Por lo tanto, resulta muy difícil identificarlos.
Sin embargo, conociendo su clasificación tendrás una idea de cómo protegerte.
Tipos de adversarios en la ciberseguridad
1) Hackers: estas son personas que ingresan a los sistemas explotando vulnerabilidades.
La Ciberseguridad en México ya es un tema de todos los días.2) Ciberdelincuentes: estas son personas que usan malware y virus para robar datos del sistema objetivo.
3) Estados nacionales: son gobiernos que utilizan armas cibernéticas y agencias de inteligencia para realizar espionaje y sabotaje.
El tipo más común de adversarios son los piratas informáticos, que representan alrededor del 50 % de todos los ataques cibernéticos a las empresas.
| Nivel | Categoría de Adversario | Habilidades | Motivación |
| 1 | Script kiddies, newbies, novatos | Muy Básicas | Aburrimiento, buscan emociones, trolls |
| 2 | Hacktivista, activistas políticos | Básicas | Promueven causas políticas (buenas / malas) |
| 3 | Cyber punks, crashers, futuro criminal | Básicas | Prestigio, ego, ganancia personal |
| 4 | Usuarios descontentos | Moderado | Descontento, ganancia personal, venganza |
| 5 | Programadores (coders, writers) | Avanzadas | Poder, prestigio, venganza, respeto |
| 6 | Hackers de sombrero blanco, la vieja guardia, sneakers | Avanzadas | Adquirir más conocimientos, ética, respeto |
| 7 | hackers de sombrero negro, profesionales, élite, cibercriminales | Muy Avanzadas | ganancia personal, avaricia, venganza |
| 8 | Ciberterrorismo | Muy Avanzadas | Ideologías, política, espionaje |
El objetivo de modelar al adversario es crear un perfil digital de él para predecir su comportamiento y anticipar sus próximos movimientos. De esta forma, los profesionales de la ciberseguridad pueden responder en consecuencia y estar más preparados ante cualquier posible ataque.
¿Que son los TTPs?
Los TTP son las tácticas, técnicas y procedimientos que utilizará un adversario para lograr su objetivo. Es importante saber cuáles son estos TTP para protegerse de ellos.
El primer paso para protegerse de los TTP es saber qué son y cómo funcionan. Estos pueden incluir la forma en que un adversario operará en una computadora o la forma en que podrían intentar obtener información de usted.
Los TTP son un grupo de tácticas, técnicas y procedimientos que un adversario puede usar para obtener una ventaja. Los adversarios pueden utilizar los TTP para muchos propósitos diferentes, entre ellos:
- Para identificar vulnerabilidades en redes o sistemas.
- Para ejecutar un ataque cibernético o explotar una vulnerabilidad para violar el sistema de destino.
- Para mantener el acceso al sistema o red de destino.
- Para extraer información del sistema o red de destino.
- Para interrumpir las operaciones del sistema o red de destino.
- Para denegar el acceso a los recursos en el sistema o red de destino.
- Para destruir datos en el sistema o red de destino”.
Existen muchas recomendaciones de cómo afrontarlas, así como metodologías, básicamente necesitas hacer 3 cosas.
- Detectar
- Responder
- Mitigar
- Recuperar
Detectar
Identificar tan rápido como te sea posible (visibilidad) los síntomas de que algo va mal, para eso debes tener la capacidad de identificar Indicadores de compromiso (ICS), registrar síntomas anómalos de operadores/administradores de TI y la capacidad de registrar la actividad maliciosa de un ataque de manera temprana:
Por ejemplo:
- Cambios de configuración o estatus en los sistemas
- Accesos no autorizados a la red o aplicaciones
- Tráfico anómalo detectado en la red
- Acceso a sistemas por usuarios no comunes
(Ej: cuentas privilegiadas, de aplicación, soporte) - Saltos de la red interna hacia afuera (Call Backs [C2C])
Movimiento lateral
Ante cualquier incidente de seguridad la clave para salir bien librado es: La detección temprana, en este punto deberás ser capaz de responder a las siguientes preguntas:
- ¿Tenemos evidencia de los indicadores de compromiso? (con esta información se puede calcular el nivel del adversario / severidad de la amenaza)
- ¿Cuál es el impacto? (operación, negocio, escala, numero de sistemas impactados por la amenaza)
- ¿Existe evidencia, donde está, y como accedemos a ella?
- ¿Cuáles son los procedimientos de respuesta ante un incidente de seguridad de un sistema/aplicación critico? (BCP/DRP)
- ¿Cómo se están monitoreando los sistemas críticos? (soporte, performance, NoC)
- ¿Existe evidencia del control de tráfico (seguro) entre las aplicaciones críticas? (segmentación, aislamiento de la amenaza)
Responder
Hoy en día desde mi punto de vista es la parte más importante de todo, tener visibilidad ya no es un tema complejo de llevar a cabo, siempre y cuando tengas una buena estrategia de Ciberseguridad; tus herramientas afinadas, procesos bien establecidos y probados además de un personal bien capacitado y calificado (experiencia, entrenamientos).
Esta es la etapa en que controlas (algunas veces cazas) al atacante, contienes, bloqueas, controlas y aprendes de él.
En este punto, no hay mejor metodología que el OODA LOOP:
Debe ser un proceso constante y la pregunta a responder es
¿Qué vas a hacer en cada punto?
Mitigar
Es la habilidad que tenemos para responder mientras está ocurriendo el ataque, si la detección es correcta y temprana la respuesta debe ser perfecta. Y entonces es posible mitigar, de lo contrario no hay mucho que puedas hacer.
Objetivo
- Minimizar el impacto negativo.
- Asegurar cierto nivel de competencia a pesar del ataque.
- Tener un Plan de contingencia (operación) de al menos 24 horas
- después de la primera acción (triage).
¿Cómo?
Ejecutar el plan mitigación de manera gradual. Ser Flexibles (Los procesos establecidos deben permitir cambios en tiempo real).
- Asegurar la segmentación de RED.
- Recuperar
No es solo proceso de regresión a un estado de salud adecuado, es más
- que eso es: Reintegración total de los sistemas (# de sistemas / aplicaciones).
- Verificación de procesos para No volverse a infectar.
- Probar todo para validar que todo funciona y trabaja correctamente.
Los Procesos de recuperación no deben ser estáticos, cada paso debe ejecutarse basado en objetivos operacionales y depende de las prioridades operativas del negocio.
Las TTPs No solamente sirven a los Adversarios, también son efectivas, utilizables y aplicables para el uso de los Defensores (Ciberdefenders). Poner a prueba al equipo de TI o de Ciberseguridad es lo más adecuado si se quiere realmente proteger, de lo contrario sigue haciendo Ciberseguridad como hasta ahora.
En conclusión
Estamos en la era en que el Cibercrimen cada día se vuelve un negocio más rentable, no importa a que te dediques tú o tu empresa, todos somos un objetivo (dirigido o por daño colateral) estamos expuestos.
Hoy es más evidente que por el simple hecho de estar conectados a internet eres blanco de algo o alguien desde bots automatizados, recolectando direcciones de correo electrónico, identificando formularios de contacto mal diseñados, pasando por los ataques más sofisticados para el robo suplantación de cuentas bancarias, robo de propiedad industrial, espionaje, sabotaje, la venta renta de servicios para la difamación de una persona o empresa… y más.
Y tú ¿Conoces a tu Adversario?
