\n
![\"Resultados](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-1.png\")
<\/span><\/div>En un mundo tan cambiante como el de la ciberseguridad, mantenerse un paso por delante es hoy m\u00e1s importante que nunca. Los adversarios buscan sin descanso nuevas formas de burlar las defensas y estos m\u00e9todos son cada vez m\u00e1s sofisticados. Las reglas cambian constantemente y hay mucho en juego, por lo que las consecuencias de quedarse atr\u00e1s pueden ser catastr\u00f3ficas.<\/p>\n
Es aqu\u00ed donde entran en escena MITRE\u00a0Engenuity y sus evaluaciones Enterprise\u00a0ATT&CK para poner orden entre tanto caos. Estas evaluaciones se han convertido en un recurso valios\u00edsimo para los directores de seguridad de la informaci\u00f3n, los profesionales de la seguridad y cualquier otra persona encargada de proteger los activos digitales de una organizaci\u00f3n. Ofrecen una prueba decisiva o una revisi\u00f3n de rendimiento de la eficacia de las soluciones de seguridad del endpoint del sector a la hora de enfrentarse a los ciberdelincuentes m\u00e1s ingeniosos.<\/p>\n
Pero \u00bfqu\u00e9 son exactamente las evaluaciones MITRE Engenuity ATT&CK y por qu\u00e9 deber\u00edan importarle los resultados? Estas evaluaciones anuales emulan las t\u00e1cticas, t\u00e9cnicas y procedimientos (TTP) que utilizan algunos de los grupos de ciberdelincuencia m\u00e1s activos y conocidos en la actualidad. El Red\u00a0Team de MITRE\u00a0Engenuity invita a los proveedores de soluciones de ciberseguridad a enfrentarse a una serie de ataques preparados a conciencia (tanto en modo de solo detecci\u00f3n como en modo de solo prevenci\u00f3n) para revelar informaci\u00f3n sobre los productos en lo referente a tres funciones:<\/p>\n
- \n
- Visibilidad:<\/strong>\u00a0qu\u00e9 es capaz de ver la soluci\u00f3n<\/li>\n
- Detecci\u00f3n:<\/strong>\u00a0qu\u00e9 acciones puede identificar como maliciosas con precisi\u00f3n<\/li>\n
- Protecci\u00f3n:<\/strong>\u00a0qu\u00e9 acciones maliciosas puede prevenir la soluci\u00f3n<\/li>\n<\/ol>\n
Son muchos los proveedores que participan en estas evaluaciones (29 este a\u00f1o), lo cual es un fiel reflejo de su valor y del incre\u00edble trabajo que pone MITRE\u00a0Engenuity en prepararlas para que cada vez m\u00e1s empresas quieran sumarse al reto.<\/p>\n
<\/a>5.\u00aa\u00a0ronda (Turla)<\/h2>\n
Este a\u00f1o se ha celebrado la quinta evaluaci\u00f3n anual, en la que el Red\u00a0Team de MITRE\u00a0Engenuity se ha centrado en emular los m\u00e9todos que utiliza\u00a0Turla<\/a>, un grupo de ciberdelincuencia que nuestros\u00a0investigadores de amenazas de Unit\u00a042 han estudiado<\/a>\u00a0a fondo. Turla es un grupo de ciberdelincuencia ruso extremadamente bien financiado y sofisticado que ha infectado a v\u00edctimas de 45\u00a0pa\u00edses distintos. Entre sus objetivos se encuentran agencias gubernamentales, grupos militares, misiones diplom\u00e1ticas, organizaciones de investigaci\u00f3n y medios de comunicaci\u00f3n. Turla debe su infamia a sus t\u00e1cticas de exfiltraci\u00f3n encubiertas, que incluyen ataques de abrevadero contra sitios web gubernamentales, rootkits personalizados, infraestructuras de red de comando y control muy elaboradas y t\u00e1cticas de enga\u00f1o. Al hablar con los proveedores de seguridad que participaron, queda claro que MITRE\u00a0Engenuity dio un paso de gigante en el nivel de sofisticaci\u00f3n de los m\u00e9todos de ataque empleados este a\u00f1o.<\/p>\n
El Blue\u00a0Team implement\u00f3 el agente Cortex\u00a0XDR Pro for Endpoint en endpoints tanto de Windows como de Linux. No se implement\u00f3 ninguna soluci\u00f3n adicional y Cortex\u00a0XDR se configur\u00f3 con los par\u00e1metros que trae por defecto. Solo se hicieron dos cambios: habilitar la puesta en cuarentena de los archivos maliciosos y, en el caso de Linux, habilitar la opci\u00f3n de tratar el grayware como malware.<\/p>\n
<\/a>M\u00e9tricas clave y criterios de evaluaci\u00f3n<\/h2>\n
La evaluaci\u00f3n de este a\u00f1o se dividi\u00f3 en dos situaciones de solo detecci\u00f3n, a las que se llam\u00f3 \u00abCarbon\u00bb y \u00abSnake\u00bb y que se corresponden con dos conocidas herramientas utilizadas por Turla. A esto le sigui\u00f3 una fase de protecci\u00f3n que replic\u00f3 las t\u00e9cnicas de la prueba de detecci\u00f3n, con suficiente entrop\u00eda inyectada como para que las pruebas no resultasen id\u00e9nticas. Cada una de las dos situaciones de detecci\u00f3n consist\u00eda en 10\u00a0pasos con varios subpasos que se corresponden con t\u00e9cnicas reales del marco MITRE\u00a0ATT&CK. En total, hab\u00eda 143\u00a0subpasos que cada proveedor ten\u00eda la oportunidad de ver. Para cada uno de estos subpasos, el equipo de MITRE\u00a0Engenuity registr\u00f3 si las distintas soluciones ten\u00edan una detecci\u00f3n para cada una de las acciones realizadas.<\/p>\n
Las detecciones individuales se categorizaron en funci\u00f3n de su calidad.<\/p>\n
Categor\u00edas de detecci\u00f3n de MITRE\u00a0Engenuity:<\/p>\n
- \n
- No procede:<\/strong>\u00a0los participantes no ten\u00edan visibilidad del sistema sometido a las pruebas. (Se da este caso si el proveedor decide no participar en la evaluaci\u00f3n de Linux).<\/li>\n
- Ninguna:<\/strong>\u00a0no hubo detecci\u00f3n. (No hab\u00eda telemetr\u00eda asociada a la actividad maliciosa).<\/li>\n
- Telemetr\u00eda:<\/strong>\u00a0la funci\u00f3n recopil\u00f3 datos m\u00ednimamente procesados que demuestran la existencia de eventos. (Las detecciones de este tipo suelen limitarse a la creaci\u00f3n de logs de actividad).<\/li>\n
- General:<\/strong>\u00a0se detect\u00f3 el evento an\u00f3malo. Sin embargo, no se especific\u00f3 ninguna t\u00e1ctica ATT&CK (ni contexto equivalente). (En las detecciones de este tipo, el analista de seguridad tiene que investigar y determinar qu\u00e9 acci\u00f3n se realiz\u00f3 y por qu\u00e9).<\/li>\n
- T\u00e1ctica:<\/strong>\u00a0se especific\u00f3 una t\u00e1ctica ATT&CK (o contexto equivalente) del evento an\u00f3malo. (Las detecciones de este tipo determinan por qu\u00e9 se ha producido la acci\u00f3n, pero a\u00fan es necesario que el analista de seguridad investigue qu\u00e9 acci\u00f3n o t\u00e9cnica se utiliz\u00f3).<\/li>\n
- T\u00e9cnica:<\/strong>\u00a0se especific\u00f3 una t\u00e9cnica ATT&CK (o contexto equivalente) del evento an\u00f3malo. (Las detecciones de este calibre ofrecen el contexto y los detalles necesarios para determinar por qu\u00e9 el adversario realiz\u00f3 la acci\u00f3n y concretamente qu\u00e9 acci\u00f3n utiliz\u00f3 para lograr su objetivo).<\/li>\n<\/ul>\n
\n![\"Gr\u00e1fica]()
<\/span><\/div>
\n <\/p>\nEn la pr\u00e1ctica, MITRE\u00a0Engenuity identifica dos tipos de cobertura: cobertura de telemetr\u00eda y \u00abcobertura anal\u00edtica\u00bb. La cobertura de telemetr\u00eda se define como el n\u00famero de subpasos en los que la m\u00e1xima detecci\u00f3n que realiza una soluci\u00f3n es una detecci\u00f3n de telemetr\u00eda. La cobertura anal\u00edtica se define como el n\u00famero de subpasos que contienen una detecci\u00f3n general, t\u00e1ctica o t\u00e9cnica.<\/p>\n
Tambi\u00e9n es importante mencionar que todas las detecciones podr\u00edan tener uno de estos dos modificadores de la detecci\u00f3n:<\/p>\n
- \n
- Cambios de configuraci\u00f3n:<\/strong>\u00a0se registra este modificador si la detecci\u00f3n observada se produce el cuarto d\u00eda de pruebas, en el que se da a los proveedores una segunda oportunidad para detectar actividad maliciosa que hayan pasado por alto en la prueba inicial.<\/li>\n
- Retrasos en la detecci\u00f3n:<\/strong>\u00a0se registra este modificador si la detecci\u00f3n no se observa a tiempo, esto es, si se produce un retraso importante entre el momento en que se realiza la acci\u00f3n y el momento en que la detecci\u00f3n aparece en la consola del proveedor.<\/li>\n<\/ul>\n
Para la situaci\u00f3n \u00abProtecciones\u00bb, hubo 129\u00a0subpasos agrupados en 13\u00a0pasos principales. Con respecto a estos subpasos, cada subpaso de protecci\u00f3n se bloque\u00f3 o no y se registr\u00f3 como una de las siguientes opciones:<\/p>\n
- \n
- Protegido:<\/strong>\u00a0se bloque\u00f3 la actividad maliciosa.<\/li>\n
- No procede (Protegido):<\/strong>\u00a0esto se produce cuando se ha bloqueado un subpaso previo en el paso de prevenci\u00f3n y, por lo tanto, no se han podido ejecutar los subpasos posteriores.<\/li>\n
- Ninguna acci\u00f3n:<\/strong>\u00a0esto significa que no se bloque\u00f3 la actividad maliciosa.<\/li>\n<\/ul>\n
<\/a>\u00bfQu\u00e9 resultados obtuvo Cortex\u00a0XDR?<\/h2>\n
El objetivo de estas evaluaciones es conocer los resultados de las soluciones en lo relativo a estas tres funciones:<\/p>\n
- \n
- Visibilidad:<\/strong>\u00a0qu\u00e9 es capaz de ver la soluci\u00f3n<\/li>\n
- Detecci\u00f3n:<\/strong>\u00a0qu\u00e9 acciones puede identificar como maliciosas con precisi\u00f3n<\/li>\n
- Protecci\u00f3n:<\/strong>\u00a0qu\u00e9 acciones maliciosas puede prevenir la soluci\u00f3n<\/li>\n<\/ol>\n
Cortex\u00a0XDR es el \u00fanico que ofrece un 100\u00a0% de\u00a0protecci\u00f3n<\/strong>, un 100\u00a0% de\u00a0visibilidad<\/strong>\u00a0y un 100\u00a0% de\u00a0cobertura anal\u00edtica<\/strong>\u00a0(detecciones) sin realizar cambios de configuraci\u00f3n y sin retrasos en las detecciones.<\/p>\n
La calidad de nuestras detecciones no tiene comparaci\u00f3n: 142 de las 143\u00a0detecciones se categorizaron en el nivel de T\u00e9cnica,\u00a0la mayor calidad de detecci\u00f3n posible<\/em>. La detecci\u00f3n restante se categoriz\u00f3 de \u00abT\u00e1ctica\u00bb. Adem\u00e1s, se bloquearon los 129\u00a0subpasos de la evaluaci\u00f3n \u00abProtecci\u00f3n\u00bb. Todo esto se logr\u00f3 sin realizar ning\u00fan \u00abcambio de configuraci\u00f3n\u00bb y sin ning\u00fan \u00abretraso en la detecci\u00f3n\u00bb. De hecho, si no tenemos en cuenta las detecciones resultantes de un cambio de configuraci\u00f3n, Cortex\u00a0XDR fue el \u00fanico proveedor que no pas\u00f3 por alto ninguna detecci\u00f3n (tipo de detecci\u00f3n, \u00abNinguna\u00bb). Dicho de otro modo, Cortex\u00a0XDR fue\u00a0el \u00fanico con un 100\u00a0% de visibilidad<\/em>.
\n![\"Captura]()
<\/span><\/div>El panel de resultados de las evaluaciones MITRE Engenuity ATT&CK de Palo Alto Networks<\/a>. Instant\u00e1nea que muestra los resultados de la evaluaci\u00f3n de 2023 (Turla).<\/figcaption><\/figure><\/p>\n Los resultados de la evaluaci\u00f3n de este a\u00f1o reflejan la enorme cantidad de trabajo que Palo Alto Networks sigue poniendo tanto en investigaci\u00f3n de los adversarios como en ingenier\u00eda de seguridad del endpoint y c\u00f3mo aplica esos conocimientos para ayudar a sus clientes a mantenerse a salvo en una realidad cibern\u00e9tica cada vez m\u00e1s hostil.<\/p>\n
<\/a>Un apunte sobre \u00abel 100\u00a0%\u00bb<\/h2>\n
Si ya hace tiempo que sigue las evaluaciones ATT&CK, el 100\u00a0% puede parecerle lo normal, pero no se enga\u00f1e: aunque otras soluciones afirmen haber alcanzado el 100\u00a0% en la evaluaci\u00f3n de este a\u00f1o, lo que en realidad ha sucedido es que han realizado al menos una detecci\u00f3n o prevenci\u00f3n en los pasos principales. Cortex es el \u00fanico que ha ofrecido estas detecciones para cada una de las acciones maliciosas que se realizaron (los subpasos).<\/p>\n
El 100\u00a0% en detecci\u00f3n y prevenci\u00f3n es el m\u00ednimo al que todos deber\u00edamos aspirar. Tal y como apuntaba Allie\u00a0Mellen, de Forrester, tras la evaluaci\u00f3n del a\u00f1o pasado, \u00abdetectar un ataque inspirado en una amenaza conocida deber\u00eda ser lo m\u00ednimo que hicieran los productos de seguridad, y no lo m\u00e1ximo<\/a>\u00bb.1\u00a0Nosotros no podr\u00edamos estar m\u00e1s de acuerdo, y Cortex\u00a0XDR se est\u00e1 convirtiendo en el referente del sector.<\/p>\n
Dicho esto, Allie tambi\u00e9n llevaba raz\u00f3n cuando dec\u00eda que quiz\u00e1s el 100\u00a0% en detecci\u00f3n no sea necesariamente algo bueno, ya que las soluciones que \u00abdetectan todas y cada una de las t\u00e9cnicas podr\u00edan resultar ruidosas, arrojar una alta tasa de falsos positivos y generar demasiadas alertas<\/a>\u00bb. En Palo Alto Networks tambi\u00e9n lo vemos as\u00ed, y por eso utilizamos ampliamente el aprendizaje autom\u00e1tico para entender qu\u00e9 actividades se corresponden con operaciones normales y cu\u00e1les podr\u00edan ser acciones maliciosas. Esto es a\u00fan m\u00e1s cierto en el caso de Cortex\u00a0XDR, donde integramos telemetr\u00eda adicional de muchas otras fuentes de datos que ofrecen pistas contextuales cruciales para ayudarle a determinar en qu\u00e9 deber\u00eda centrar sus investigaciones.<\/p>\n
<\/a>Examinar los resultados de la evaluaci\u00f3n ATT&CK<\/h2>\n
Queremos dar la enhorabuena a MITRE\u00a0Engenuity, ya que la evaluaci\u00f3n de este a\u00f1o ha sido considerablemente m\u00e1s complicada que las anteriores. Tambi\u00e9n nos parecen buen\u00edsimas las mejoras que han hecho para ayudar a los encargados de la seguridad a tomar decisiones con conocimiento de causa. Ahora, los resultados de la evaluaci\u00f3n ATT&CK, que se pueden consultar en el sitio web de MITRE\u00a0Engenuity, permiten comparar\u00a0directamente los resultados de tres proveedores<\/a>. Se pueden seleccionar cada una de las tres situaciones de evaluaci\u00f3n y hasta tres proveedores. Por defecto, los resultados incluyen las detecciones que se produjeron con retrasos o tras alg\u00fan cambio de configuraci\u00f3n, pero tambi\u00e9n es posible consultarlos excluyendo esos modificadores.<\/p>\n
![\"Resultados]()
<\/span><\/div>Resultados de la evaluaci\u00f3n de protecci\u00f3n, extra\u00eddos del sitio web de MITRE Engenuity ATT&CK Evaluations<\/a>. Solo Cortex\u00a0XDR obtuvo una puntuaci\u00f3n del 100\u00a0% en prevenci\u00f3n.<\/figcaption><\/figure>\n Durante a\u00f1os, hemos o\u00eddo que no es f\u00e1cil entender los resultados de la evaluaci\u00f3n ATT&CK, ya que no hay ninguna herramienta de visualizaci\u00f3n de datos que permita ver los resultados de todos los proveedores a la vez. Para ayudar con esto, hemos desarrollado una herramienta con la que le resultar\u00e1 m\u00e1s sencillo indagar en los resultados de este y otros a\u00f1os. Con ella, puede seleccionar los proveedores que le interesan y los adversarios concretos que se han emulado. Todas las gr\u00e1ficas se generan directamente a partir de los archivos\u00a0JSON proporcionados por MITRE\u00a0Engenuity para cada uno de los participantes. Examine los\u00a0resultados de la evaluaci\u00f3n ATT&CK<\/a>\u00a0y deje que los datos le indiquen cu\u00e1l es la mejor opci\u00f3n para defender su negocio.
\n - Detecci\u00f3n:<\/strong>\u00a0qu\u00e9 acciones puede identificar como maliciosas con precisi\u00f3n<\/li>\n
- No procede (Protegido):<\/strong>\u00a0esto se produce cuando se ha bloqueado un subpaso previo en el paso de prevenci\u00f3n y, por lo tanto, no se han podido ejecutar los subpasos posteriores.<\/li>\n
- Retrasos en la detecci\u00f3n:<\/strong>\u00a0se registra este modificador si la detecci\u00f3n no se observa a tiempo, esto es, si se produce un retraso importante entre el momento en que se realiza la acci\u00f3n y el momento en que la detecci\u00f3n aparece en la consola del proveedor.<\/li>\n<\/ul>\n
- Ninguna:<\/strong>\u00a0no hubo detecci\u00f3n. (No hab\u00eda telemetr\u00eda asociada a la actividad maliciosa).<\/li>\n
- Detecci\u00f3n:<\/strong>\u00a0qu\u00e9 acciones puede identificar como maliciosas con precisi\u00f3n<\/li>\n
![\"Gr\u00e1fica](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-2.png\")
<\/span><\/div>![\"Captura](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/image-15.png\")
<\/span><\/div>![\"Resultados](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-4.png\")
<\/span><\/div>![\"Gr\u00e1fica](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-5.png\")
<\/span><\/div>