Skip to content ↓ | Skip to navigation ↓

Durante la mayor parte de esta década, pasé una buena cantidad de tiempo analizando los marcos de seguridad y cumplimiento. Hay belleza en cada uno de ellos. Algunos son de muy alto nivel y dejan a la organización interpretar cómo implementar los diversos controles, como los controles de seguridad críticos de CIS. Otros son increíblemente prescriptivos y proporcionan instrucciones paso a paso sobre cómo habilitar o deshabilitar varias configuraciones, como los puntos de referencia de hardening de CIS o DIS.

La mayoría se ubica en un punto intermedio, que dicta lo que se debe hacer sin proporcionar pasos de implementación técnica.

He hablado con muchas personas que ya están implementando algún framework de cumplimiento, como PCI o NIST SP800-53, y se encuentran buscando dónde comenzar a implementar los controles de seguridad críticos. Cuando esto sucede, a menudo me refiero a un excelente póster de CIS. Este asignó algunos de los frameworks o marcos de cumplimiento más populares a los 20 controles críticos.

A partir del año pasado, el MITRE ATT&CK Framework ha ganado mucho reconocimiento en la industria. Este marco divide 10 tácticas en cientos de técnicas. Lo que más me gusta, es que cada técnica enumera los mecanismos de mitigación y detección que se pueden implementar.

Además, cada técnica tiene ejemplos del mundo real, de actores de amenazas o campañas de malware que han utilizado la técnica. ATT&CK es un increíble conjunto de información comprensible.

Lo que quería ver era un mapeo de los controles críticos de seguridad con ATT&CK. No pude encontrar nada en Internet, así que lo hice yo mismo.

El mes pasado, revisé y revisé cada control de seguridad crítico individual. Luego, comparé esos resultados con ATT&CK. Para este primer paso, me concentré solo en las técnicas que se aplicaban a Windows. Luego me arrastré a través de cada técnica y miré la guía de mitigación y detección para tratar de asignarlos a controles de seguridad críticos específicos.

Después de realizar este ejercicio, hubo algunos hallazgos que fueron sorprendentes. El primero es que hay cinco controles para los que no encontré ninguna asignación, y dos controles que solo tenían una asignación.

El control 1 me sorprendió. Este tenía cero relación con el framework ATT&CK. Lo que me sorprendió fue que no hay mención de firmware o BIOS en ningún lugar de los Controles de Seguridad Críticos. Las menciones sobre firmware se extienden a través de varias Tácticas en ATT&CK, y atacar el firmware es algo que los delincuentes hacen de vez en cuando. Espero que CIS agregue documentación de revisiones de firmware en los Controles 1 o 2 con menciones más adelante en el documento de monitoreo de integridad.

Los Controles 17, 18, 19 y 20 solo tenían un mapeo entre todos, que fue una breve mención de la separación de los entornos de desarrollo y producción en la técnica de Webroot compartido. Estos cuatro controles se conocen como controles organizacionales y se vinculan más estrechamente a la respuesta que a la mitigación o detección de amenazas.

Control 10 solo tuvo una mención en ATT&CK, que fue Exfiltración sobre Protocolo Alternativo. Este control es para configuraciones seguras de equipos de red, por lo que ver referencias a dispositivos de red en un marco basado en Windows debería ser mínimo. Sin embargo, creo que debería haber cierta paridad en otras técnicas similares en ATT&CK, por ejemplo, mencionar la guía de fortalecimiento de la red en las otras técnicas de ataque basadas en red.

Finalmente, el Control 15 tampoco tenía mapeos. Este control es para controles de acceso inalámbrico, por lo que nuevamente tendría un impacto mínimo en un ambiente Windows. Después de una revisión adicional, creo que probablemente haya una o dos relaciones aquí, por ejemplo, en Exfiltration over Other Network Medium que requiere servicios de desactivación como Bluetooth.

Sin embargo, hubo tres tecnologías que se destacaron después de completar el análisis.

La primera fue la implementación de la lista blanca de aplicaciones. Incluso antes de esta actividad, sabía que la inclusión en la lista blanca era una de las tecnologías más impactantes en términos de bloqueo de ciberataques. Al limitar lo que puede ejecutarse en un punto final, está obligando a un atacante a jugar según sus reglas. El uso de herramientas integradas en el sistema operativo con fines maliciosos no es tan poco común; tampoco está pasando por alto las tecnologías de la lista blanca.

Sin embargo, una de las mayores victorias vendrá de la adopción de la lista blanca. No es de sorprender ver algo relacionado con la lista blanca en casi todas las técnicas.

El siguiente con más relaciones o mapeos fue el Control 6 para monitorear los registros o logs de auditoría. Tengo una larga historia en registros, y creo firmemente que toda la inteligencia sobre su empresa estará en su producto de logs. Desde una perspectiva de alto nivel, reduce la superficie de ataque al mínimo posible y luego controla el resto. Esa última parte se basa casi exclusivamente en la recopilación e inspección de datos de registro.

Finalmente, el Control 14 tuvo la tercera mayor cantidad de mapeos. Esto se debe a que en la Versión 7 de los Critical Security Controls, la supervisión de la integridad de los archivos se trasladó de la Gestión de Configuración segura al Acceso Controlado. También agrupé los archivos de monitoreo y las entradas de registro en esta categoría.

En ATT&CK, una de las piezas de datos más agradables viene en el campo Orígenes de datos, que menciona dónde recopilar datos. El Registro de Windows y el monitoreo de archivos es común en varias técnicas. Es por eso que la política más grande de Tripwire Enterprise se basa en ATT&CK. La monitorización de integridad de archivos (y registros) es un control fundamental que proporcionará una tonelada de valor si se implementa y utiliza correctamente.

Para aquellos interesados, utilicé el navegador ATT&CK para construir las asignaciones. He subido todos los archivos JSON a mi cuenta de GitHub aquí. Sé que probablemente haya hecho mapeos incorrectos o haya omitido algunas relaciones. Me encantaría que esto fuese un conocimiento colectivo en el que cualquiera pudiera contribuir para que todos podamos asegurar nuestras redes un poco mejor que ayer.

Si está interesado en aprender más, descargue esta guía que describe dónde el marco MITRE ATT&CK se cruza con los controles CIS y muestra cómo las soluciones de Tripwire pueden ayudarlo a combatir a los ciber adversarios.


Nota del editor: Este blog fue traducido por Denisse Vega (original:https://www.tripwire.com/state-of-security/security-data-protection/security-controls/mapping-the-attck-framework-to-cis-controls)

The Executive's Guide to the Top 20 Critical Security Controls