En los últimos meses, hemos realizado publicaciones sobre cómo comenzar a usar MITRE ATT&CK utilizándolo para realizar inteligencia sobre amenazas, detección y análisis, y para emulación de adversarios.

ATT&CK puede ser útil para cualquier organización que quiera avanzar hacia una defensa informada sobre amenazas, por lo que queremos compartir ideas sobre cómo comenzar independientemente de cuán sofisticado sea la organización o el equipo de trabajo. Tal y como hace Katie Nickels (Editora de MITRE ATT&CK™), dividiremos cada una de estas publicaciones en diferentes niveles:

• Nivel 1: para aquellos que recién comienzan y que pueden no tener muchos recursos,
• Nivel 2: para aquellos que son equipos de nivel medio que comienzan a madurar, y
• Nivel 3: para aquellos con equipos y recursos de ciberseguridad más avanzados.

Hoy comenzamos esta serie hablando sobre inteligencia de amenazas y con una descripción general de alto nivel sobre cómo se puede usar ATT&CK para avanzar en la detección de de amenazas cibernéticas.

Nivel 1

La Inteligencia sobre Amenazas Cibernéticas se trata de saber lo que hacen tus adversarios y usar esa información para mejorar la toma de decisiones. Por ejemplo, para una organización con solo un par de analistas que quiere comenzar a usar ATT&CK, una forma en tomar un solo grupo que le interese y observar sus comportamientos y cómo han sido estructurados en el framework de ATT&CK.

Se puede elegir un grupo de los mapeados en el sitio web en función de a quién se han dirigido previamente. Alternativamente, muchos proveedores también asignan un identificador de ATT&CK, por lo que también se podría usar su información como referencia.


Ejemplo: si se trata de una compañía financiera o bancaria, se podría buscar en la barra de búsqueda o en la página de grupos para identificar que la APT38 está dirigido a ese sector en particular.

Descripción del grupo APT38

APT38 es un grupo de amenazas con motivación financiera respaldado por el régimen de Corea del Norte. El grupo se dirige principalmente a bancos e instituciones financieras y se ha dirigido a más de 16 organizaciones en al menos 13 países desde al menos 2014.

Se sabe que el nombre de Grupo Lazarus abarca una amplia gama de actividades relacionadas con APT38 y por eso algunas organizaciones usan el nombre Grupo Lazarus para referirse a cualquier actividad atribuida a Corea del Norte. Algunas organizaciones rastrean estos grupos de Corea del Norte como Bluenoroff, APT37 y APT38 por separado, mientras que otras organizaciones pueden rastrear alguna actividad asociada con los nombres de esos grupos con el nombre genérico de Grupo Lazarus. También se sabe que APT38 ha estado relacionado con robo a sistemas SWIFT en distintos países del mundo y en la región.

Inteligencia de amenazas

Entonces, ¿cómo hacemos para que esta información sea procesable, el cual es el punto central de la inteligencia de amenazas? La mejor forma es compartir esta información con el equipo de defensa de la organización (o el area de Seguridad de la Información respectivo), ya que este es un grupo que se ha enfocado en nuestro sector financiero y queremos defendernos contra ellos.

Por ejemplo, se puede informar a los defensores sobre una clave de registro específica, un archivo ejecutbale, un IOC en particular o las técnicas que ha utilizado APT38 en el último tiempo.
En resumen, esta es una manera fácil de comenzar a usar ATT&CK para la inteligencia de amenazas, simplemente mirando un solo grupo adversario que nos interese en un momento determinado e identificar algunos comportamientos que han usado para informar a los defensores sobre cómo pueden tratar de detectar ese grupo.


Cristian de la Redacción de Segu-Info