El navegador de ATT&CK

   El navegador ATT&CK es una herramienta que proporciona una forma eficiente de navegar y utilizar el marco ATT&CK de Mitre (organización estadounidense sin ánimo de lucro que provee ingeniería de sistemas, investigación y desarrollo, y soporte sobre tecnologías de la información al gobierno de Estados Unidos de América).
 Este navegador está diseñado para ofrecer navegación básica y anotación de matrices ATT&CK, para que sea simple y genérico.
 Puede usarse para visualizar la cobertura defensiva del usuario, la planificación de un equipo rojo/azul, la frecuencia de las técnicas detectadas o cualquier otra cosa que se desee hacer. Por otra parte, el navegador permite al usuario manipular las celdas de la matriz (codificar por colores, añadir un comentario, asignar un valor numérico, etc.).
  Su característica principal es la posibilidad de que los usuarios definan capas (vistas personalizadas de la base de conocimientos de ATT&CK), que pueden crearse interactivamente dentro del navegador o generarse programáticamente y luego visualizarse a través de él.
  Este navegador está disponible en línea a través de páginas de GitHub y es accesible desde la página de red de ATT&CK. Es compatible con los navegadores Chrome, Firefox, Internet Explorer, Edge, Opera, y Safari.
  Puede emplearse en los siguientes casos:
  •   Detección de actividad maliciosa o prevención.
  •   Inteligencia de amenazas ("Threat Intelligence", en inglés).
  •   Evaluaciones tecnológicas ("assessments", en inglés) contra tecnología (identificando brechas).
  •   Modelado de amenazas.
  •   Planificación de ejercicios Equipo Rojo / Equipo Azul.
  Este programa en línea está diseñado para proporcionar una navegación básica en el marco ATT&CK. Por una parte, este navegador permite manipular las celdas de la matriz, importar otras técnicas, formatos JSON, etc.; por otra parte, también permite al usuario crear sus propias capara ("layers", en inglés), es decir, vistas personalizadas de la base de conocimiento, las cuales se pueden crear interactivamente dentro del navegador o generarse mediante programación y luego visualizarlas a través del navegador. 

MENÚS

  El navegador ATT&CK posee tres menús propios (que sólo funcionan correctamente en la versión en inglés): Controles de selección ("Selection Controls", en inglés), controles de capa ("Layer Controls", en inglés), y controles de técnica ("Technique Controls", en inglés).

Controles de selección
  Este tipo de controles permiten al usuario seleccionar las técnicas que necesite.
 El primer botón es el de búsqueda y multiselección, que permite buscar técnicas en la matriz, buscando en los campos, nombre, identificador y descripción.
  La multiselección proporciona una forma de seleccionar y deseleccionar rápidamente grupos de técnicas. Su interfaz facilita varios tipos de agrupaciones: Grupos de amenazas ("Threat Groups", en inglés; actividad de intrusión relacionada con un nombre común), soporte lógico (programas maliciosos o utilidades que utilizan técnicas conocidas para la intrusión), mitigaciones [estrategias y controles aplicados para reducir el impacto y la probabilidad de amenazas y vulnerabilidades en sistemas y datos, minimizando daños por ciberataques (malware, ransomware, etc.) o fallos], campañas (cualquier agrupación de actividades de intrusión realizadas durante un período de tiempo específico con objetivos y metas comunes), activos (dispositivos y sistemas que se encuentran comúnmente en entornos de sistemas de control industrial), estrategias de detección (enfoques de alto nivel para detectar técnicas adversarias específicas) y componentes de datos (propiedades/valores específicos relevantes para detectar una técnica o subtécnica determinada del marco ATT&CK).
  Para usar la multiselección se despliega el tipo que se necesite (en este ejemplo "Detection Strategies"), se busca la técnica deseada ("ESXI Administration Command", en este ejemplo) y se pulsa en el botón "select" (para quitarlo de la selección se hace lo mismo, mas se pulsa en el botón "deselect"). Podrá verse en la matriz que está seleccionado en todas las columnas de las tácticas  donde se encuentre. También es posible seleccionar todas las técnicas de una sección pulsando en el botón "Select all". 


  Para salir de esta sección, se pulsa sobre el botón "Close", o sobre el botón de búsqueda.
  El siguiente botón de este menú es el de deseleccionar las técnicas previamente seleccionadas (en este ejemplo "Abuse Elevation Control Mechanism"). Sólo hay que pulsarlo para que, en el caso de que haya técnicas seleccionadas, éstas se  deseleccionan y sus comentarios / anotaciones realizados son borrados.
  El tercer botón de este menú permite crear filtros de búsqueda de técnicas por comportamiento. Al pulsarlo, aparece un menú contextual con tres opciones que se pueden marcar en sus respectivas casillas de verificación según se necesite.
  El último botón de este menú es el de la configuración del mismo. Consiste en un submenú contextual donde se pueden seleccionar los botones que se muestran en el menú marcando las casillas de verificación pertinentes, así como las etiquetas de cada botón.

Controles de capa
  El menú de este tipo de controles permite al usuario gestionar la capa activa.
  Su primer botón (con aspecto de engranaje) es para configurar los aspectos generales de la capa, como su nombre, una descripción de la misma, sus etiquetas o su tamaño. También se pueden agregar metadatos, enlaces y puntuaciones. Se cierra pulsando sobre el botón "Close" o sobre el mismo botón que lo abrió.

  El segundo botón se utiliza para exportar la capa. Puede hacerse en formato JSON, hoja de cálculo (mantiene colores, comentarios, etc.), o imagen SVG (permite realizar una edición simple antes de la exportación).
  En el siguiente botón se filtran las técnicas que aparecen en la matriz. Debe marcarse la casilla de verificación de las opciones que se ven en el menú contextual.
  En el cuarto botón se pueden clasificar las técnicas de cada columna por orden, alfabético o numérico, ascendente o descendente.
  El quinto botón es de configuración de color. Permite establecer un color de fondo a la táctica. La casilla "show" debe estar seleccionada.
  El botón sexto permite ver u ocultar las técnicas deshabilitadas (usar con la funcionalidad multiselección).
  El botón siguiente permite mostrar/ocultar las subtécnicas.
  Finalmente, el séptimo botón, al igual que sucede con el menú anterior, es el que permite configurar el presente menú. Consiste en un submenú contextual donde se pueden seleccionar los botones que se muestran en el menú marcando las casillas de verificación pertinentes, así como las etiquetas de cada botón.

Controles de técnica
  Este menú permite al usuario gestionar las técnicas dentro del navegador. Sólo se activa si se selecciona una o más técnicas.
  En el primer botón se pueden alternar las técnicas seleccionadas entre un estado habilitado y deshabilitado (texto de la técnica atenuado y no se mostrarán colores).
  El segundo botón permite añadir un color seleccionado al fondo de las técnicas seleccionadas (el mismo para todas). El color se selecciona con el botón izquierdo del ratón en el menú contextual. Se cierra pulsando nuevamente en el botón correspondiente.
  El tercer botón permite añadir una puntuación de amenaza ("score", en inglés) a la técnica (o técnicas) seleccionada. Dicha puntuación se añade mediante flechas. La técnica seleccionada aparecerá con un color asociado al nivel de amenaza de la puntuación dada.
  El botón siguiente permite agregar un comentario a la técnica (o técnicas) seleccionada. Cuando se añade el comentario, escribiéndolo en el recuadro contextual, se mostrará una línea de color amarillo en la técnica seleccionada.

  El quinto botón permite añadir un enlace a la técnica (o técnicas) seleccionada. Para ello, se pulsa en el botón "add links" del menú contextual y, en el recuadro expandido, se escribirá una etiqueta en el campo "label" y una dirección de red en el campo "url", el enlace se añadirá automáticamente a la técnica (para eliminarlo se pulsará en el botón "remove"). Cuando se añade el enlace, aparecerá una línea azul marino en la técnica seleccionada. Cada vez que se pulse en el botón "add links" se expandirá  más el menú contextual. 
  El botón número 6 permite al usuario añadir metadatos a la técnica (o técnicas) seleccionada. En este caso, se pulsa en el botón "add metadata" en el menú contextual y, en el recuadro expandido, se escribe un nombre en el campo "name" y un valor en el campo "value", el metadato se añadirá automáticamente a la técnica (para eliminarlo se pulsará en el botón "remove"). Cuando se añade el enlace, aparecerá una línea violeta en la técnica seleccionada. Cada vez que se pulse en el botón "add metadata" se expandirá  más el menú contextual.
  Mediante el siguiente botón se eliminan los comentarios o anotaciones realizados a la técnica (o técnicas) seleccionada.
  Finalmente, el último botón, como en los menús anteriores, es el que permite configurar el presente menú. Consiste en un submenú contextual donde se pueden seleccionar los botones que se muestran en el menú marcando las casillas de verificación pertinentes, así como las etiquetas de cada botón.

  En todos los menús aparece, a la derecha de todo, un botón para fijar o soltar la barra de herramientas.

USO BÁSICO

  Una de las funciones del navegador ATT&CK es modelar posibles ciberataques. Por ejemplo, un ataque de fuerza bruta para iniciar la sesión en Glassfish.
  En primer lugar, se selecciona la técnica "Recopilar información de la red de las víctimas  > Direcciones IP" mediante los procedimientos que aparecen en un menú contextual pulsando con el botón derecho del ratón sobre la última de dichas técnicas (en la primera técnica se pulsa sobre la opción "seleccionar" y en la siguiente sobre "añadir a la selección").

  Se realiza la misma operación con las siguientes técnicas (y subtécnicas) en las nueve tácticas siguientes (siempre con el procedimiento "añadir a la selección"), ya que las cuatro últimas suelen ser los objetivos finales del ataque.

  En este ejemplo, el objetivo final es iniciar sesión mediante fuerza bruta con privilegios de administrador, para poder realizar cualquier acción en Glassfish. En este marco, esto sería una técnica de "Secuestro informático" de la táctica de "Impacto".

  Con todas las técnicas pertinentes seleccionadas, se rellenará el fondo con color verde desde el menú de controles de técnica, con lo que se podrá ver el modelo de este ataque en la capa.

   Finalmente, puede exportarse desde el menú de controles de capa.

Submenú de procedimientos
  Para poder gestionar ciertos aspectos de las técnicas, este navegador posee un menú contextual que, como se ha comentado más arriba, aparece cuando se pulsa con el botón derecho del ratón sobre una técnica.
  Este menú comienza con una etiqueta de la técnica a la que pertenece (en este ejemplo "Adquirir acceso) y su identificador (sólo es informativo), el resto de las opciones son:
  •   Información sobre herramientas de fijación/desfijación ("pin/unpin tooltip", en inglés): Sirve para adherir el nombre de la técnica y su identificador.

  •   Seleccionar: Selecciona la técnica (o subtécnica) marcándola con un borde azul marino. Si ya hay otra técnica (o subtécnica) previamente seleccionada, se descartará.
  •    Añadir a la selección: Selecciona la técnica (o subtécnica) agregándola a cualquier otra técnica (o subtécnica). Todas las técnicas (o subtécnicas) del grupo estarán marcadas con el cuadro de borde azul marino.
  •   Eliminar de la selección: Descarta la técnica (o subtécnica) previamente seleccionada.
  •   Seleccionar todo: Selecciona todas las técnicas y subtécnicas de la matriz, marcándolas con un recuadro de borde azul marino.
  •   Deseleccionar todo: Descarta todas las técnicas y subtécnicas, previamente seleccionadas, de la matriz.
  •   Selección invertida: Invierte la selección previa de técnicas y subtécnicas de la matriz.
  •   Seleccionar anotado: Selecciona toda técnica (o subtécnica) que tenga alguna anotación.
  •   Seleccionar sin anotaciones: Selecciona toda técnica (o subtécnica) que no contenga alguna anotación.
  •   Seleccionar todas las técnicas en táctica: Selecciona todas las técnicas de una misma táctica.

  •   Deseleccionar todas las técnicas en táctica: Descarta todas las técnicas, previamente seleccionadas, de una misma táctica.
  •   Técnica de visualización ("view technique", en inglés): Abre una nueva pestaña en el navegador de red con la pantalla de los detalles de la técnica (o subtécnica).
  •   Ver táctica: Abre una nueva pestaña en el navegador de red con la pantalla de los detalles de la táctica en la que se encuentra la técnica (o subtécnica).

  Aguardo que la presente entrada haya sido interesante para el lector; de ser así, espero que éste la comente y/o la comparta, por favor.
Publicado por en
Etiquetas: , , ,

No hay comentarios:

Publicar un comentario

Deje aquí su comentario, si no puede comentar, pruebe a hacerlo desde otro navegador de red u otro equipo.

Suscribirse a: Enviar comentarios (Atom)