Existen varios sistemas de caracterización y catalogación de ciberataques, generalmente razonados por "modus operandi" del oponente; algunos están obviamente cubiertos por el secreto de los Estados y Alianzas o por la confidencialidad investigativa de los organismos encargados de hacer cumplir la ley, a fin de mantener la superioridad informativa sobre el enemigo o la eficacia de la acción judicial-represiva. Sin embargo, también existen iniciativas de intercambio público de este importante marco de conocimiento: la primera y más importante piedra angular defensiva, de hecho, es la "factor común" un glosario, un método y un conjunto de medidas de seguridad ampliamente conocidas y aplicadas entre quienes comparten redes, sistemas de información y servicios de TI.
En este sentido, la iniciativa de La Corporación MITRE, una organización sin fines de lucro activa desde 1958. Fundada en el funcionamiento de centros de investigación y desarrollo financiados con fondos públicos de los Estados Unidos, MITRE participa activamente en el apoyo a la I + D para el Gobierno de los Estados Unidos de América. MITRA ha desarrollado un repositorio de conocimiento de acceso público - La MITRE ATT & CK - que expone de forma indexada, las tácticas de ciberataque. El acrónimo ATT & CK Es sinónimo de "Tácticas, técnicas y conocimientos comunes contra los adversarios".
En la biblioteca el TTP se describen identificando las vulnerabilidades explotadas y enumerando los grupos criminales de mayor interés, sus perfiles operativos y códigos maliciosos utilizados, describiendo sus algoritmos y efectos. Para cada categoría, MITRE ATT &CK Combina las contramedidas generalmente consideradas adecuadas para prevenir o mitigar tácticas, para responder de manera efectiva y en varios frentes a los distintos incidentes, incluyendo las medidas necesarias para el seguimiento y detección de elementos. "latente" o "clandestino" operando clandestinamente en sistemas o redes de información.
Il base de datos cuenta con una interfaz gráfica intuitiva y multimodal, por lo que la búsqueda se puede realizar independientemente de si se parte de tácticas, en lugar de técnicas, contramedidas, códigos maliciosos o grupos criminales observados. El archivo le permite finalizar la búsqueda por tipo de infraestructura o tecnología: por lo tanto, puede verificar las metodologías de ataque específicas y los modelos de amenazas cibernéticas que se dirigen a clientes, computadoras portátiles o de escritorio, en lugar de infraestructuras de procesamiento centralizado, almacenamiento y servicio o incluso a redes. ya sea por cable o por radio.
Una sección de la aplicación está dedicada a las amenazas a sistemas de control industrial (ICS). Aquí la catalogación de acciones ofensivas y la indicación de medidas de defensa y respuesta se vuelve más complicada y menos inmediata. La causa es la heterogeneidad del entorno tecnológico industrial, comprensiblemente afectado por soluciones de infraestructura heredadas y, a menudo, desarrolladas internamente. La mala estandarización se traduce en una diversificación de plataformas, protocolos y aplicaciones que dificulta la estandarización de las técnicas de detección y mitigación comúnmente sugeridas. MITRE ATT & CK mitiga el problema al sugerir una categorización de alto nivel de los activos de control industrial que simplifica y guía al usuario en la adaptación de las filosofías de protección y respuesta a su plataforma tecnológica específica.
La aplicación también ofrece un curso de formación en el uso eficaz de los recursos puestos a disposición, así como una sección dedicada a alimentar, depurar y actualizar el archivo. Esto último se ve facilitado por una interfaz para recopilar informes de nueva evidencia que los usuarios de la web envían para contribuir a este esfuerzo de "conocimiento colectivo compartido".
En resumen, un recurso común, este de MITRA ATT & CK, que no puede dejar de ser parte de labienes parafernales de un profesional de la seguridad y cuya interacción recomiendo encarecidamente tanto a los que se están formando como a los - ya maduros en profesionalismo - que pretenden colaborar aportando elementos de experiencia personal o denuncias - en la sección "Contribuir" - nuevo TTP observar.
Así es también como se mejora el sistema colectivo de prevención y respuesta: "networking para defender la red!"
Para saber más:
