Connect with us

CSO

MITRE Engage: aplicando estratégicamente el enfoque del Deception

Redacción CIO México

Published

on

La recién anunciada matriz Engage, por parte de la organización MITRE, configura un marco para planificar y discutir las operaciones para confrontar a los adversarios y habilitar el empoderamiento de las organizaciones para abordarlos con éxito y que estas logren sus objetivos de ciberseguridad.

MITRE Engage busca ayudar al defensor, y al innovador de primera línea, a reducir la barrera de entrada y elevar el techo de experiencia para quienes buscan utilizar tecnologías de confrontación o de “enganchamiento” del adversario. A diferencia de otras tecnologías defensivas, MITRE cree que las tecnologías con el enfoque del engaño cibernético o “Cyber Deception” no son de “instala y olvida”. Por ello, las organizaciones deberían implementar estas tecnologías como parte de una estrategia intencional que les ayude a cumplir objetivos bien entendidos.

Como tal, Engage está diseñado para ayudar a los defensores a:

Confrontar de manera segura y eficaz en la negación, el engaño y el enfrentamiento del adversario; Busca proporcionar a la comunidad los recursos que necesita para comprender cómo usar de manera efectiva y segura las tecnologías para confrontar al adversario y cumplir sus objetivos, ya sean expertos o novatos en este rubro.

Impulsar el progreso y la innovación futuros: Engage espera construir una comunidad unificada de profesionales que aporten experiencia y compartan conocimientos para hacer crecer y madurar el espacio tecnológico.

Construir una comunidad compartida de profesionales de enfrentamiento con adversarios. Engage espera facilitar el intercambio de información y la creación de redes a medida que la comunidad crezca y madure.

MITRE Engage también tiene como objetivo ayudar a los CISO y otros responsables en la toma de decisiones de seguridad a comprender cómo la negación, el engaño y el “enganchamiento” del adversario encajan en la estrategia de ciberseguridad actual de la organización. Engage está diseñado para ayudar a los tomadores de decisiones a:

Crear políticas y procedimientos para la operación segura de la red y la respuesta a incidentes. Engage introduce la planificación y la adaptación como componentes fundamentales del marco. Si bien la planificación y la adaptación son funciones del CISO, el profesional necesita actividades de conocimiento como la recopilación, la tranquilidad y la motivación que pueden conducir a la detección de incidentes.

Reducir los riesgos de la información y las tecnologías relacionadas. Engage establece actividades para ayudar a detectar, prevenir, dirigir e interrumpir a los adversarios. MITRE cree que el empleo de estas actividades puede apoyar la misión de reducción de riesgos.

Proteger la información y los activos. Mientras que las actividades de negación limitan el acceso de un adversario a la información legítima, el engaño activa un mecanismo de protección adicional. Proporcionar información errónea sobre sistemas o datos puede disminuir la confianza o el valor de un adversario en esos activos. La disminución del valor y la confianza generalmente harán que un adversario evite esos objetos.

La matriz engage: devolviéndole la ventaja al defensor

La defensa cibernética se ha centrado tradicionalmente en el uso de tecnologías bajo el concepto de “defense-in-depth” para negar a los adversarios el acceso a las redes de una organización o a los activos cibernéticos críticos. En este paradigma, cada vez que los adversarios pueden acceder a un nuevo sistema o filtrar un dato de la red, ganan, pero cuando un defensor introduce artefactos y sistemas engañosos, inmediatamente aumenta la ambigüedad para el adversario.

La Negación Cibernética (Cyber Denial) es la capacidad de prevenir o de perjudicar la capacidad del adversario para llevar a cabo sus operaciones. Esta interrupción puede limitar sus movimientos, esfuerzos de recolección o la efectividad de sus capacidades. El Cyber Deception revela intencionalmente hechos engañosos y de ficción para engañar al adversario. Además, oculta hechos críticos para evitar que el adversario forme estimaciones correctas o tome las medidas apropiadas. Cuando las organizaciones usan la negación cibernética y el engaño juntos, proporcionan la base del concepto de “Adversary Engagement (AE)” en el contexto de la planificación y el análisis estratégicos.

Permítame compartirle un ejemplo del mundo real: Un operador de ransomware 2.0 ejecuta de manera consistente la tradicional técnica T1069.002, haciendo uso del comando net group “Domain admins” /domain u otra herramienta como ADFind tratando de identificar las cuentas del Directorio Activo que están dentro de este grupo privilegiado del entorno. El defensor puede implementar mecanismos que por un lado oculten los recursos reales de la organización impidiendo el acceso a ellos durante la consulta (enumeración) y al mismo tiempo presentando una respuesta “engañosa” con señuelos. Este solo es un pequeño escenario que ejemplifica el valor conjunto de los conceptos descritos anteriormente para el defensor.

Le espera terminó…

Oficialmente el pasado 28 de febrero MITRE anunció la versión 1 de MITRE Engage reemplazando al esfuerzo inicial llamado Shield, con la intención de empoderar a los defensores bajo un nuevo “mindset” e indicándoles de manera estratégica como lograrlo. El sitio https://engage.mitre.org/ ofrece una diversidad de recursos valiosos para los defensores, tomadores de decisión y fabricantes alrededor de la implementación de la matriz.

-Juan Carlos Vázquez, Regional Director Attivo Networks LATAM

Advertisement
Advertisement

VIDEOS

Resources

Advertisement

Recientes

Advertisement