Novedades
¿Has escuchado de MITRE ATT&CK? ATT&CK por sus siglas en inglés, significa: "tácticas, técnicas del adversario y conocimiento común". En una fuente de información colaborativa entre los profesionales de seguridad. Permite identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. Es una fuente a tener en cuenta para entender cómo operan los atacantes.
ATT&CK Enterprise (a diferencia de Pre-ATT&CK o MOBILE) se enfoca en entender el modus operandi de los adversarios posterior al compromiso dentro de los entornos empresariales.
Como lectura preliminar preliminar, recomendamos encarecidamente el propio documento de 2017 de MITRE sobre el tema, Finding Threats with ATT&CK-based Analytics. https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics
El marco es una base de conocimiento accesible a nivel mundial de tácticas y técnicas de los adversarios que pueden describirse como un inventario de indicadores de compromiso (IOC por sus siglas en inglés) estáticos basados en la reputación que cambian con el tiempo, expiran y solo tienen un valor en un punto en el tiempo.
Por lo tanto, MITER ATT&CK ha documentado una nueva taxonomía que permite a los profesionales de la seguridad identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. En otras palabras, los principales problemas que aborda el marco ATT&CK se centran en cómo interactúan los adversarios con un sistema. En muchos sentidos, se puede argumentar que el marco ha ayudado a alejar la conversación de las firmas estáticas que dominaron la era de la detección 2012-2013, y hacia un tipo diferente de detección: el comportamiento de un adversario conocido. Antes de este framework, los profesionales de seguridad no tenían medios colectivos para catalogar lo obvio, ni lo matizado, en lo que respecta a las diferencias de los TTP de los atacantes. Se podría argumentar que la capacidad de tener esta conversación es la contribución más significativa del marco de ATT&CK hasta la fecha.
Los proveedores de ciberseguridad también se benefician al probar sus soluciones contra el marco y medir la efectividad de sus herramientas contra estrategias de ataque conocidas y comportamientos de los adversarios.
Las pruebas MITRE ATT&CK son transparentes y los resultados de la evaluación están disponibles tanto para los fabricantes como para los usuarios finales, sin comentarios ni prejuicios. Las evaluaciones MITRE ATT&CK no son un sistema competitivo utilizado para seleccionar a los ganadores en la industria de la ciberseguridad. No enfrenta soluciones entre sí, califica cuantitativamente los productos no califica el desempeño de un proveedor. Los resultados de las pruebas se registran en una matriz de éxito que ofrece a los lectores una idea de cómo le fue a cada proveedor frente a cada técnica o táctica de amenaza.
En resumen, es fundamental recordar que MITER ATT&CK no está construido en base a inteligencia, sino en conocimiento y visibilidad. No se esfuerza por examinar cosas como las dependencias de la cadena de ataque, el contexto o las ponderaciones en términos de qué priorizar, dadas todas las demás variables. Tampoco se presta para probar lo desconocido; aquellas técnicas para las cuales puede no haber firmas conocidas. En un contexto de amenazas hiper evolutivas que aprovechan un número cada vez mayor de técnicas que, fuera de contexto, pueden ser benignas o maliciosas, como los ataques que utilizan las herramientas legitimas existentes en la infraestructura de la víctima (living off the land) y la exfiltración de datos, existen numerosos ejemplos tangibles de esa limitación con los cuales toda organización deberá estar muy familiarizada.
Un gusano informático, también conocido como “worm”, es un tipo de malware que tiene la capacidad de propagarse de forma automatizada para infectar la mayor cantidad de computadoras posibles de manera rápida, tanto sobre una red hogareña como corporativa. Pueden llegar a ralentizar la máquina víctima o la red en la que se encuentra, ya sea por un alto consumo de los recursos del equipo o por un alto consumo de la red.
Ante un año donde la realidad obligó a personas, corporaciones, PYMEs y entidades del Estado a cambiar modelos de comportamiento y de negocios, han surgido con fuerza ataques basados en estas nuevas premisas. Te invitamos a participar de RAN TOUR 2020 y aprovechar al máximo conocimiento experto sobre la nueva realidad en ciberseguridad:
Cuando nos referimos a cibercrimen, los delincuentes siempre se dirigen a donde pueden encontrar la mayor cantidad de usuarios y dinero. Así que los eventos de compras virtuales son los que permiten un despliegue en la variedad de tácticas con el objetivo de robar información personal y financiera, siendo uno de los más comunes, el phishing.
Apache Software Foundation ha lanzado correcciones para contener una vulnerabilidad de día cero explotada activamente que afecta a la ampliamente utilizada biblioteca de registro basada en Java Apache Log4j que podría convertirse en un arma para ejecutar código malicioso y permitir una toma de control completa de los sistemas vulnerables.
El cryptojacking es una amenaza emergente de Internet que se oculta en un ordenador o en un dispositivo móvil, y utiliza los recursos de la máquina para “extraer” diversas formas de monedas digitales conocidas como criptomonedas. Hoy en día representa una nueva amenaza para la seguridad y puede ser muy peligroso. Conocé cómo descubrirlo, las formas de evitarlo y cómo protegerte ante este ataque.
