Saltar al contenido principal

Colaboración H-ISAC y el modelo MITRE ATT&CK


Uso de análisis para la ciberdefensa proactiva en el sector sanitario y otros sectores

 

A medida que los distintos ISAC continúan reforzando sus defensas contra el creciente número de amenazas cibernéticas, MITRE ha revolucionado el seguimiento de la inteligencia sobre amenazas cibernéticas. El modelo MITRE ATT&CK se ha convertido en la base de conocimiento reconocida mundialmente para las tácticas adversas que utilizan los cibercriminales de alta tecnología de la actualidad.

Si bien este marco es un excelente comienzo para recopilar información sobre amenazas cibernéticas, no está completo, ya que los cibercriminales están constantemente desarrollando nuevas tácticas. El futuro de este marco y su valor para los diversos Centros de análisis e intercambio de información (ISAC) depende completamente de un enfoque colaborativo para la mejora continua. Como afirmó recientemente William Barnes, director sénior de soluciones de seguridad de Pfizer: "Estamos todos juntos en esto".

 

¿Cómo funciona el modelo ATT&CK?

El marco ATT&CK proporciona información sobre tácticas adversarias, técnicas y conocimientos comunes, de ahí el acrónimo. Esta matriz es una creación de MITRE Corporation, una organización sin fines de lucro que se enorgullece de resolver problemas en pos de un mundo más seguro. Sus centros de datos financiados por el gobierno federal son accesibles a nivel mundial y realizan una amplia variedad de esfuerzos de investigación basados ​​en datos, incluida la ciberseguridad.

La base de conocimientos ATT&CK, creada en 2013, documenta las tácticas y técnicas más comunes que utilizan los ciberdelincuentes modernos. El motivo de la creación de este modelo fue la necesidad de comprender el comportamiento de los adversarios, en lugar de comprender las tácticas individuales en un momento determinado. Los ciberdelincuentes operan de una manera u otra y la clave para detenerlos es predecir con precisión su próximo movimiento.

Los componentes del modelo ATT&CK se pueden dividir en tácticas y técnicas. Las tácticas representan el “por qué” un adversario elegirá realizar una determinada acción. Las técnicas son el “cómo” un adversario intenta lograr su objetivo táctico. La combinación de ambas ayuda a arrojar luz sobre posibles comportamientos, o próximos pasos, que un cibercriminal puede adoptar.

La Matriz ATT&CK es la representación visual de estas tácticas y técnicas. Algunos ejemplos de tácticas incluyen Persistencia, Movimiento lateral y Descubrimiento. Para estas y muchas otras tácticas, la matriz identifica técnicas potenciales que podrían usarse para cada una. Por ejemplo, el Movimiento lateral tiene 17 técnicas diferentes que se han identificado, como los scripts de inicio de sesión y la copia remota de archivos.

 

Cómo las organizaciones se benefician del modelo ATT&CK

Armadas con la información del modelo ATT&CK, las organizaciones pueden comenzar a construir de manera proactiva sus defensas cibernéticas. Cuando detectan que se utilizan ciertas tácticas contra sus defensas perimetrales, pueden usar la matriz para preparar las defensas para las posibles técnicas o próximos pasos del adversario.

El principal beneficio es la naturaleza proactiva del modelo ATT&CK. Todas las organizaciones en la era digital utilizan algún tipo de software y soluciones de ciberseguridad. Ofrecen distintos niveles de posturas defensivas y, como mínimo, proporcionan niveles básicos de protección. Sin embargo, la posibilidad de una vulneración exitosa es inminente.

Para que cualquier organización proteja con éxito sus activos digitales, debe mantenerse alerta en sus esfuerzos por adelantarse a sus adversarios. Según William Barnes, el principal desafío es que existe una amplia gama de actividades maliciosas. Además, citó el hecho de que tanto los servicios financieros como las industrias de atención médica son las entidades más grandes y, por lo tanto, brindan un entorno rico en objetivos para los posibles adversarios. “Los servicios financieros son el ISAC más grande… pero la atención médica representa una comunidad masiva que es mucho más grande en términos de partes interesadas”.

 

La colaboración es la clave

En la reciente Cumbre de primavera de H-ISAC, hubo un tema central que resonó: trabajar juntos para combatir la amenaza de los adversarios cibernéticos es el mejor camino a seguir, no solo para la atención médica, sino para todas las industrias.

Aquí es donde el modelo MITRE ATT&CK y el H-ISAC (Centro de análisis e intercambio de información sanitaria) pueden dar los mayores pasos. El modelo en sí mismo proporciona un marco para identificar tácticas con técnicas asociadas. Sin embargo, su eficacia depende de la información que tenga actualmente. Al permitir que las organizaciones miembros del H-ISAC compartan sus experiencias, la base de conocimientos de MITRE puede actualizarse continuamente con las últimas amenazas.

Las organizaciones ahora cuentan con una plataforma consistente que, según Barnes, puede ser objeto de colaboración colectiva. Esto significa que todas las entidades pueden beneficiarse de las experiencias de cada una de ellas. Como resultado, pueden seguir desarrollando medidas de seguridad proactivas que las mantengan por delante del adversario.

 

¿Cuáles son los impactos de la divulgación?

Por supuesto, este intercambio abierto de información también plantea algunas preocupaciones. Algunas organizaciones se muestran reacias a compartir el hecho de que pueden haber sufrido una vulneración de seguridad, ya que ello perjudica su credibilidad en el mercado. Algunas temen que otras entidades puedan verse tentadas a utilizar esta información contra sus competidores.

Según Barnes, H-ISAC ha abordado este problema de frente mediante el uso de acuerdos de confidencialidad para las entidades miembro. Estos acuerdos ayudan a aliviar las preocupaciones de que se filtre información inapropiada al público.

Barnes también señaló que el intercambio de información no tiene por qué ver necesariamente con un incidente de violación de seguridad real. Al contar con la colaboración de H-ISAC con MITRE, la información compartida tiene más que ver con la identificación de actividades sospechosas o maliciosas. El objetivo no es señalar con el dedo a quienes sufrieron la violación de seguridad, sino identificar nuevas tácticas y técnicas y compartirlas con los miembros de la comunidad para el beneficio de todos.

 

Ventajas y desventajas de la participación de proveedores

A medida que la comunidad colaborativa sigue creciendo, los proveedores de ciberseguridad están empezando a tomar asiento en la mesa. La ventaja de incorporar a estos actores es que están inmersos en las tácticas y técnicas de los adversarios y pueden aportar una visión de primera línea a las entidades miembros de H-ISAC.

Según Barnes, cada proveedor probablemente pueda manejar el espectro de tácticas y técnicas; sin embargo, cada uno también tiende a especializarse en ciertas áreas. Al incorporar una amplia gama de proveedores, los miembros de H-ISAC y el modelo MITRE ATT&CK pueden beneficiarse de sus diversas perspectivas.

 

El futuro es brillante

A pesar de todos los desafíos que existen en la era digital moderna, Barnes sigue siendo optimista. Una de las principales conclusiones que obtuvo de la Cumbre de primavera de H-ISAC es la renovada convicción de que este grupo de trabajo de análisis de ciberseguridad de H-ISAC puede lograr cosas extraordinarias.

El crecimiento y desarrollo continuos del modelo MITRE ATT&CK es una oportunidad emocionante. La posibilidad de tener un impacto positivo en las organizaciones de todo el espectro de la atención médica nunca ha sido mejor. Además, Barnes también señaló que la comunidad H-ISAC ha hecho de la diversidad y la inclusión una prioridad.

Para obtener más información sobre Cybersecurity Analytics y otros grupos de trabajo, visite https://h-isac.org/committees-working-groups/.

  • Recursos y noticias relacionados