Investigador de Malware + Analista de amenazas: dos perspectivas sobre la base de conocimiento MITRE ATT&CK™

Siguiente

Miembros de los equipos de Investigación de malware y de Análisis de malware y amenazas de ESET discutieron acerca de cómo el “efecto ATT&CK” ha impactado en su práctica. Veamos brevemente cómo esta base de conocimiento actúa sobre la colaboración, el continuo aprendizaje y la innovación en ESET.

Lo que puede parecer para muchos en la industria de la ciberseguridad una acumulación de actividades, comunicaciones y hasta habladurías sobre la base de conocimiento MITRE ATT&CK, se ha convertido para otros en una segunda naturaleza. La base de conocimiento, su taxonomía común y su portfolio de técnicas de ataque registradas han establecido una base de trabajo para optimizar la colaboración entre industrias y entre analistas de amenazas, investigadores y otros profesionales que trabajan para convertir sus hallazgos en prácticas útiles al operar productos endpoint complejos de detección y respuesta.

El investigador de malware

Senior Malware Researcher, Marc-Étienne Léveillé, desarrolló software para Mac e iOS antes de sumarse a ESET, pero era ya un apasionado de la seguridad informática, y apuntaba a formar una carrera en la industria. “A pesar de haber ganado un amplio conocimiento técnico, temía que la jerga utilizada por los investigadores más destacados fuera a diferir de la que yo utilizaba, y no estaba seguro de si la terminología que había adquirido leyendo blogs y artículos en línea era efectivamente utilizada por organizaciones a las que quería unirme”, recuerda Léveillé.

Ese vacío de conocimiento es algo que la base de conocimiento ATT&CK busca llenar, proveyendo una taxonomía común. Ya que las descripciones provistas por MITRE y sus colaboradores son bastante precisas y respetadas por los más experimentados en la industria, representan una gran ventaja para los novatos en investigación y equipos de análisis, e incluso para quienes no tengan tanto conocimiento técnico, permitiéndoles conversar sobre técnicas de ataque con mayor confianza.

Además, resolver el problema de la taxonomía produce también resultados en la colaboración entre equipos dentro de una misma organización, incluyendo: respondedores de incidentes, investigadores, equipos de Investigación y Desarrollo de producto y analistas de Centros de Operaciones de Seguridad (SOC, por sus siglas en inglés), así como a otros profesionales de seguridad IT.

Desde la perspectiva de Léveillé ese beneficio se extiende, ya que “estructura partes de nuestros resultados como investigadores de malware, volviéndolos algo digerible por otros, incluso por sistemas automatizados”. La investigación de ESET en WeLiveSecurity, “ATT&CK Techniques”, reúne hashes de archivo, nombres de dominio, direcciones IP, firmas YARA y otros indicadores de compromiso en la documentación. Eso se extiende al texto plano, archivos analizables en el repositorio de investigación de ESET de GitHub. Subsecuentemente, esto amplía el número de personas capaces de consumir esas partes de forma más sencilla.

El analista de amenazas

Senior Malware & Threat analyst Miroslav Babis, comenzó a trabajar con ATT&CK a fines de 2016. “Yo era parte de un equipo encargado de crear el conjunto de reglas para nuestra solución EDR, ESET Enterprise Inspector (EEI). Comenzamos procesando fuentes y conocimientos internos – principalmente las reglas de nuestro Sistema de Prevención de Instrusiones basado en el Host (HIPS) y reglas heurísticas – y lo expandimos con información externa de código abierto. Fue ahí cuando noté ATT&CK y comencé a utilizar la base de conocimiento porque – a diferencia de la mayoría de los recursos – proveía información contextual sobre lo que los atacantes pueden hacer en tu red y las maneras en que lo logran”, dijo Babis.  

Babis comenzó a usar ATT&CK en 2016, “unos dos años antes de que se produjera tanto revuelo a su alrededor y comenzara a aprovecharse ampliamente en la industria de la ciberseguridad”, estimó, y cree que “puede estar asociada a la tendencia en alza de democratizar el conocimiento en la industria, modificando la mentalidad de ‘poseer el conocimiento y reservarlo para uno’ a una cultura de mayor colaboración, en la que compartimos los Indicadores de Compromiso. ¿Es esto bueno o malo? Otra cuestión compleja.  

EL rol de Babis ha evolucionado. Pasó a incluir revisiones técnicas sobre potenciales contribuciones en ATT&CK y a realizar un trabajo continuo de actualización del conjunto de reglas de ESET Enterprise Inspector. En este último, reconoce el valor en las “descripciones comprehensivas de ATT&CK sobre técnicas y ejemplos de su uso en el mundo real”.

“Internamente, actué creando una especie de matriz de ‘visibilidad’ de lo que EEI debería ver, para ATT&CK. Luego tracé e incluí aquello que EEI monitorea y reporta de forma activa. Al comparar ambas, el equipo determinó qué es lo que EEI puede hacer en realidad, y fue capaz de identificar áreas de mejora, tapando huecos y mejorando el conjunto de reglas a futuro.”.

El entorno de trabajo de MITRE ATT&CK sigue evolucionando, y Babis no deja de apreciar la influencia que éste tiene sobre su marco de referencia y modo de pensar respecto de la creación y recreación de reglas para EEI. “El compromiso del equipo de análisis de amenazas (con ATT&CK) genera pequeñas innovaciones; por ejemplo, ahora referimos a técnicas de ATT&CK de forma directa dentro de las reglas de EEI”.

Esta explicación más profunda en EEI busca ofrecer contenido más específico y un contexto más amplio (gracias a ATT&CK) detrás de cada una de las reglas creadas y alarmas que active. En última instancia, el objetivo es ayudar a los clientes a utilizar EEI de forma más efectiva y eficiente. Además, debería mejorar la perspectiva sobre el nivel de la amenaza mediante la “cuantificación del contexto de riesgo” para todas las potenciales amenazas.

Estas funcionalidades deberían generar mejores resultados, ya sea si son usadas por personal de SOC entrenado o por un administrador de seguridad en un equipo limitado que busca comprender todas las alarmas.

Babis, que pasa los resultados de sus conjuntos de reglas directamente a Investigación y Desarrollo, destaca los beneficios de ATT&CK de la siguiente manera: “La principal influencia que veo al comprometerse con ATT&CK es que permite un proceso de mapeo y documentación eficiente a quienes están inmersos en actividades tan diversas como la creación de conjuntos de reglas y funcionalidades de producto, o descripciones de amenazas ya mapeadas o técnicas específicas en blogs y trabajos de investigación”.

Los desafíos se mantienen a pesar de la utilidad

Las reflexiones de Babis y Léveillé prueban que ATT&CK ha beneficiado tanto a investigadores de malware como a analistas de amenazas. Pero los desafíos se mantienen. Uno de ellos, es el hecho de que haya “un número limitado de técnicas disponibles para describir al malware que analizamos. Por otro lado, algunas de ellas son muy genéricas y aplican prácticamente a cada una de las piezas de malware, dejando quizá la impresión de que la información es redundante. Incluso hay algunas técnicas que no están, lo que vuelve el mapeo de ATT&CK imposible”, explicó Léveillé.

“Pero después de todo, ATT&CK convive con nosotros. Es por esto que hemos decidido apoyar la matriz de ATT&CK y que contribuimos con MITRE para ver la implementación de mejoras a futuro. Veamos hacia donde irá esta comunidad de aquí en adelante”.