Herramienta MiTRE - apoyo GIS-ARies.pptx
dmomentsbymm
3 views
17 slides
Sep 17, 2025
Slide 1 of 17
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
About This Presentation
Herramienta MiTRE marco de referencia útil para incidentes.
Slide Content
Metodologías de un atacante Herramientas utiles
Para planificar / definir una buena defensa, lo primero es saber a qué nos enfrentamos.
TECNICAS DE UN ATACANTE Un atacante puede utilizar muchas técnicas y herramientas para tratar de vulnerar un sistema o red informática. Conocerlas todas, para tratar de anticiparnos puede ser complicado. Por lo que es necesario apoyarnos en frameworks (marcos de referencia), donde personal especializado y con todos los recursos de personal y técnico están dedicados a estudiar, investigar las formas de ataques y proponer contramedidas. Porque inventar la rueda, usemos lo que ya ha sido probado y funciona!!!
MITRE ATT&CK ® Matrix for Enterprise ¿Cómo se divide el marco MITRE ATT&CK? Se divide en dos partes principales: la Matriz ATT&CK y el Navigator ATT&CK . La Matriz ATT&CK es una lista de tácticas y técnicas que los atacantes usan para comprometer la seguridad de una organización, organizadas en objetivos de alto nivel (tácticas) y los métodos específicos (técnicas) para alcanzarlos . Navigator ATT&CK es una herramienta en línea que permite a los usuarios explorar y filtrar esta información de manera interactiva y agregar sus propias notas y etiquetas. Es muy útil para los equipos de seguridad que buscan planificar, defender y detectar posibles ataques. El marco MITRE ATT&CK ( Adversarial Tactics , Techniques , and Common Knowledge ) es una herramienta dinámica que utilizan las organizaciones para comprender y mitigar las amenazas de ciberseguridad. Este marco proporciona un lenguaje común para la inteligencia de amenazas, la respuesta a incidentes y las evaluaciones de seguridad. Es decir que, su principal objetivo es facilitar un lenguaje común para que los profesionales de ciberseguridad puedan comunicarse de manera más efectiva sobre las amenazas. https://attack.mitre.org/matrices/enterprise/
https://attack.mitre.org/matrices/enterprise/
MITRE ATT&CK A su vez podemos diferenciar las siguientes fases en el marco MITRE ATT&CK: Reconocimiento: En esta fase, los atacantes buscan información sobre la organización y sus sistemas, a través de técnicas de ingeniería social o de búsqueda de información pública. Entrada: En esta fase, los atacantes buscan formas de acceder a los sistemas de la organización, ya sea a través de vulnerabilidades en el software o mediante el uso de contraseñas débiles. Expansión: Una vez que los atacantes han obtenido acceso a un sistema, intentarán darse paso a otros sistemas y redes dentro de la organización. Explotación: En esta fase, los atacantes intentan explotar las diferentes vulnerabilidades en el software o en la configuración de los sistemas para ganar acceso a información confidencial o para tomar control de los sistemas. Persistencia: Una vez que los atacantes han obtenido acceso y control sobre los sistemas de la organización, intentarán mantener este acceso de forma prolongada.
MITRE ATT&CK A su vez podemos diferenciar las siguientes fases en el marco MITRE ATT&CK: Comando y control: Los atacantes establecerán un canal de comunicación con sus sistemas de control remoto para poder mantener el control sobre los sistemas de la organización. Movimiento lateral: En esta fase, los atacantes se mueven de un sistema a otro dentro de la organización con el fin de recopilar más información y extender su control. Exfiltración : Los atacantes intentan extraer información confidencial de los sistemas de la organización y enviarla a servidores externos bajo su control.
Tácticas / técnicas Para vulnerar Servicios remotos externos
Servicios remotos externos ID Name Description G0026 APT18 APT18 Los atacantes aprovechan las credenciales legítimas para iniciar sesión en servicios remotos externos G0007 APT28 APT28 ha utilizado Tor y una variedad de servicios VPN comerciales para enrutar los intentos de autenticación de fuerza bruta. G0016 APT29 APT29 ha utilizado identidades comprometidas para acceder a redes a través de VPN y Citrix. G0096 APT41 APT41 comprometió un servicio de facturación/pago en línea utilizando el acceso VPN entre un proveedor de servicios externo y el servicio de pago específico.
Servicios remotos externos ID Name Description G0114 Chimera Chimera ha utilizado credenciales legítimas para iniciar sesión en una VPN externa, Citrix, SSH y otros servicios remotos. Chimera es un grupo de atacantes cibernéticos sede en China que ha estado activo desde al menos 2018 apuntando a la industria de semiconductores en Taiwán, así como a datos de la industria aérea. C0004 CostaRicto CostaRicto , los atacantes de amenazas configuran túneles remotos utilizando una herramienta SSH para mantener el acceso a un entorno comprometido. CostaRicto fue una campaña de espionaje cibernético de hackers a sueldo que se dirigió a múltiples industrias en todo el mundo, con un gran número de instituciones financieras. Los miembros de CostaRicto se dirigieron a organizaciones en Europa, América, Asia, Australia y África, con una gran concentración en el sur de Asia (especialmente India, Bangladesh y Singapur), utilizando malware personalizado, herramientas de código abierto y una compleja red de proxies y túneles SSH. S0600 Doki Doki se ejecutó a través de un puerto API de demonio Docker abierto. Doki es un malware que crea una puerta trasera que utiliza un algoritmo único de generación de dominios basado en Dogecoin y se observó por primera vez en julio de 2020. Doki se utilizó junto con Ngrok Mining Botnet en una campaña dirigida a servidores Docker en plataformas en la nube.
Servicios remotos externos ID Name Description G0114 Chimera Chimera ha utilizado credenciales legítimas para iniciar sesión en una VPN externa, Citrix, SSH y otros servicios remotos. Chimera es un grupo de atacantes cibernéticos sede en China que ha estado activo desde al menos 2018 apuntando a la industria de semiconductores en Taiwán, así como a datos de la industria aérea. C0004 CostaRicto CostaRicto , los atacantes de amenazas configuran túneles remotos utilizando una herramienta SSH para mantener el acceso a un entorno comprometido. CostaRicto fue una campaña de espionaje cibernético de hackers a sueldo que se dirigió a múltiples industrias en todo el mundo, con un gran número de instituciones financieras. Los miembros de CostaRicto se dirigieron a organizaciones en Europa, América, Asia, Australia y África, con una gran concentración en el sur de Asia (especialmente India, Bangladesh y Singapur), utilizando malware personalizado, herramientas de código abierto y una compleja red de proxies y túneles SSH. S0600 Doki Doki se ejecutó a través de un puerto API de demonio Docker abierto. Doki es un malware que crea una puerta trasera que utiliza un algoritmo único de generación de dominios basado en Dogecoin y se observó por primera vez en julio de 2020. Doki se utilizó junto con Ngrok Mining Botnet en una campaña dirigida a servidores Docker en plataformas en la nube.
Servicios remotos externos ID Name Description G0035 Dragonfly Dragonfly ha utilizado VPN y Outlook Web Access (OWA) para mantener el acceso a las redes de las víctimas. Dragonfly es un grupo de espionaje cibernético que se ha atribuido al Centro 16 del Servicio Federal de Seguridad (FSB) de Rusia. Activo desde al menos 2010, Dragonfly se ha dirigido a compañías de defensa y aviación, entidades gubernamentales, compañías relacionadas con sistemas de control industrial y sectores de infraestructura crítica en todo el mundo a través de la cadena de suministro, spearphishing y ataques de compromiso drive- by . G0053 FIN5 FIN5 ha utilizado credenciales legítimas de VPN, Citrix o VNC para mantener el acceso a un entorno de víctima ha utilizado credenciales legítimas de VPN, Citrix o VNC para mantener el acceso a un entorno de víctima. FIN5 es un grupo de atacantes motivado financieramente que se ha centrado en la información de identificación personal y la información de la de pagos con. El grupo ha estado activo desde al menos 2008 y se ha dirigido a las industrias de restaurantes, juegos y hoteles. El grupo está formado por atacantes que probablemente hablan ruso.
mitigación ID Mitigation Description M1042 Disable or Remove Feature or Program Deshabilite o bloquee los servicios disponibles de forma remota que puedan ser innecesarios. Account Manipulation : Additional Email Delegate Permissions Account Manipulation : SSH Authorized Keys Active Scanning : Wordlist Scanning Adversary-in-the-Middle M1035 Limit Access to Resource Over Network Limite el acceso a servicios remotos a través de concentradores administrados centralmente, como VPN y otros sistemas de acceso remoto administrados. M1032 Multi- fatacante Authentication Use una autenticación sólida de dos o varios factores para las cuentas de servicio remoto para mitigar la capacidad de un adversario para aprovechar las credenciales robadas, pero tenga en cuenta las técnicas de interceptación de autenticación multifactores para algunas implementaciones de autenticación de dos factores. M1030 Network Segmentation Denegar el acceso remoto directo a los sistemas internos mediante el uso de proxies de red, puertas de enlace y firewalls.
DETECCIÓN ID Data Source Data Component Detects DS0015 Application Log Application Log Content Cuando no se requiere autenticación para acceder a un servicio remoto expuesto, supervise las actividades de seguimiento, como el uso externo anómalo de la API o aplicación expuesta. DS0028 Logon Session Logon Session Metadata Siga las prácticas recomendadas para detectar el uso adversario de cuentas válidas para autenticarse en servicios remotos. Recopile registros de autenticación y analice patrones de acceso inusuales, ventanas de actividad y acceso fuera del horario comercial normal. DS0029 Network Traffic Network Connection Creation Supervise las conexiones de red recién creadas que pueden usar cuentas válidas para acceder y/o persistir dentro de una red mediante servicios remotos externos. El uso de servicios remotos externos puede ser legítimo dependiendo del entorno y de cómo se utilice. Otros fatacantes , como los patrones de acceso y la actividad que se produce después de un inicio de sesión remoto, pueden indicar un comportamiento sospechoso o malintencionado al usar Servicios remotos externos.
DETECCIÓN Network Traffic Content Monitorear y analizar patrones de tráfico e inspección de paquetes asociados a protocolos que no siguen los estándares de protocolo esperados y flujos de tráfico (por ejemplo, paquetes extraños que no pertenecen a flujos establecidos, patrones de tráfico gratuitos o anómalos, sintaxis o estructura anómala). Considere la correlación con el monitoreo de procesos y línea de comandos para detectar la ejecución de procesos anómalos y argumentos de línea de comandos asociados a patrones de tráfico (por ejemplo, monitorear anomalías en el uso de archivos que normalmente no inician conexiones para los protocolos respectivos). Network Traffic Flow Supervise el tráfico de red que se origina en dispositivos de hardware desconocidos o inesperados. Los metadatos del tráfico de red local (como el direccionamiento MAC de origen), así como el uso de protocolos de administración de red como DHCP pueden ser útiles para identificar hardware.
Donde puede apoyarnos MITRE ATT&CK Inteligencia de amenazas: Proporcionar una lista completa de tácticas y técnicas utilizadas por los actores de amenazas, lo que lo convierte en una herramienta esencial para los analistas y equipos de inteligencia de amenazas de las organizaciones. Respuesta a incidentes: el marco proporciona un enfoque estructurado para la respuesta a incidentes al categorizar las técnicas de ataque en fases distintas. Evaluaciones de seguridad: el marco se puede utilizar para evaluar la seguridad de una organización al asignar las defensas de la organización a las diversas tácticas y técnicas utilizadas por los atacantes. Desarrollar una estrategia de defensa: Una vez que se hayan identificado los TTP utilizados por los atacantes, la organización puede desarrollar una estrategia de defensa efectiva. Mejorar la capacidad de respuesta ante incidentes: Identificar las diferentes fases de ataque y las técnicas utilizadas, los equipos de respuesta pueden tomar medidas para contener el ataque y minimizar el impacto en la organización. Mantenerse actualizado: El MITRE ATT&CK se actualiza constantemente con la información más reciente sobre las amenazas de ciberseguridad, al estar al tanto de las últimas amenazas y TTP utilizados por los atacantes, las organizaciones pueden estar mejor preparadas para protegerse contra futuros ataques.
¿Cuáles son los beneficios del uso del MITRE ATT&CK Framework? Identificar en las diferentes áreas de la organización una posible debilidad de seguridad. Mejorar la capacidad de detección y respuesta a los posibles ataques. Ayudar en la toma de decisiones sobre cuales controles de seguridad implementar. Facilitar la comunicación y la colaboración entre los diferentes equipos de seguridad de la organización.
Tags
Categories
TechnologyDownload
Download Slideshow Get the original presentation fileQuick Actions
Statistics
- Views 3
- Slides 17
- Age 74 days
Related Slideshows
11
8-top-ai-courses-for-customer-support-representatives-in-2025.pptx
JeroenErne2
44 views
10
7-essential-ai-courses-for-call-center-supervisors-in-2025.pptx
JeroenErne2
44 views
13
25-essential-ai-courses-for-user-support-specialists-in-2025.pptx
JeroenErne2
36 views
11
8-essential-ai-courses-for-insurance-customer-service-representatives-in-2025.pptx
JeroenErne2
33 views
21
Know for Certain
DaveSinNM
19 views
17
PPT OPD LES 3ertt4t4tqqqe23e3e3rq2qq232.pptx
novasedanayoga46
23 views