Los TTP son las acciones que realizan los atacantes, los métodos que utilizan a medida que avanzan y desarrollan los ataques. Comprender cada uno de los movimientos del atacante en la cadena de ciberataques facilita a los analistas de seguridad la creación de detecciones para esos TTP, en lugar de tener que responder siempre a los ataques que ya han ocurrido. Aprovechar estos indicadores a medida que los reúne y los retroalimenta en su ecosistema de seguridad es una parte fundamental de la construcción de una defensa avanzada y persistente en el tiempo.
Las Tácticas, Técnicas y Procedimientos (TTP) constituyen los indicadores más valiosos y efectivos para detectar ataques, ya que reflejan el comportamiento de un atacante y ayudan a comprender la forma en la que realiza sus ataques. Detectar y prevenir estos indicadores implica hacer más difícil y costoso para el atacante conseguir su objetivo.
Al comprender las tácticas, técnicas y procedimientos involucrados en la cadena de destrucción de un ciberataque, las empresas pueden descubrir, evaluar y responder a las amenazas a la seguridad con un enfoque proactivo.
Táctica | Técnicas | Procedimientos |
Las tácticas de un actor de amenazas describen cómo se comportan en las diferentes etapas de la cadena de destrucción del ciberataque. Estas etapas incluyen: reconocimiento, entrega-explotación y finalmente actuando sobre los objetivos. Una táctica de ataque sofisticada se centra en mantenerse fuera del radar y realizar solo cambios sutiles en la red comprometida hasta que se entrega una carga útil maliciosa o los activos de datos se filtran a un servidor de comando y control externo. Si los indicadores de amenazas demuestran patrones de ataque comunes, como ataques DDoS, las siguientes etapas de las tácticas de la campaña se pueden predecir recopilando datos como: los puntos de entrada iniciales y los nodos o credenciales comprometidas. |
Las técnicas son lo que hacen los actores de amenazas para causar todo tipo de daños:
|
Los procedimientos son la descripción detallada de cómo se ejecutan las tácticas utilizando la elección de técnicas y un conjunto de acciones ejecutables, cuidadosamente diseñadas y precisas. Estas acciones son altamente personalizadas y el proceso está documentado para que los actores de amenazas lo sigan exactamente de acuerdo con las especificaciones. Estas acciones tienden a ser extensas pero repetidas con frecuencia. |
Si su equipo de ciberseguridad comprende bien estos tres elementos, los ataques pueden detectarse, identificarse y neutralizarse. Conocer las tácticas de un delincuente puede ayudarle a detectar ataques en sus etapas iniciales y ayudarle a predecir los futuros.
¿Cómo utilizar el análisis de TTP para defenderse del ciberdelito?
El análisis de tácticas, técnicas y procedimientos es un aspecto importante de la defensa contra el ciberdelito, ya que permite a las organizaciones comprender los métodos y estrategias utilizados por los ciberdelincuentes para atacar y explotar vulnerabilidades en sistemas y redes informáticas. El análisis de TTP se puede utilizar de varias maneras para defenderse contra el ciberdelito, entre ellas:
- Identificación de vulnerabilidades: al analizar los TTP utilizados por los ciberdelincuentes, las organizaciones pueden identificar vulnerabilidades en sus sistemas y redes que pueden explotarse. Esto permite a las organizaciones tomar medidas proactivas para remediar estas vulnerabilidades, como aplicar actualizaciones y parches de software, implementar controles de seguridad y capacitar a los empleados sobre las mejores prácticas de ciberseguridad.
- Detectar y responder a ataques: el análisis de TTP también se puede utilizar para detectar y responder a ciberataques en curso. Al comprender las tácticas y técnicas utilizadas por los ciberdelincuentes, las organizaciones pueden crear e implementar controles de seguridad que puedan detectar y bloquear el tráfico malicioso, como malware e intentos de phishing.
- Mejorar la respuesta a incidentes: el análisis de TTP también se puede utilizar para mejorar la respuesta a incidentes. Al comprender los TTP utilizados en ataques anteriores, las organizaciones pueden desarrollar planes de respuesta a incidentes que se adapten mejor a los tipos de ataques que probablemente encontrarán.
- Inteligencia de amenazas: el análisis de TTP también se puede utilizar para recopilar inteligencia sobre amenazas contra los ciberdelincuentes. Esta inteligencia se puede utilizar para comprender las capacidades, motivaciones y tácticas de los ciberdelincuentes y para protegerse mejor contra futuros ataques.
- Mejora de las medidas de seguridad: el análisis de TTP también se puede utilizar para mejorar las medidas de seguridad. Al comprender los TTP utilizados por los ciberdelincuentes, las organizaciones pueden desarrollar nuevas medidas de seguridad que puedan proteger mejor contra este tipo de ataques.
Conocer las técnicas de un adversario puede mostrarle las vulnerabilidades de su organización a tiempo para implementar contramedidas. Finalmente, un análisis de los procedimientos del actor de la amenaza puede darle una idea de cuál puede ser el objetivo final del delincuente.
¿Dónde puedo encontrar los TTP?
Identificar los TTP implica una inversión de tiempo y recursos, pero definitivamente se puede hacer. Algunos lugares comunes para buscarlos son los siguientes:
- La inteligencia de código abierto (OSINT) se refiere a los datos que se encuentran en Internet mediante plataformas compartibles y de bajo costo. Idealmente, sería útil optar por uno para priorizar las enormes cantidades de datos que proporciona.
- Honeypots: Es un sistema informático para atraer ciberataques, como un señuelo. Simula ser un objetivo para los hackers y utiliza sus intentos de intrusión para obtener información sobre los cibercriminales y la forma en que operan o para distraerlos de otros objetivos.
- Telemetría. Ese es el nombre colectivo de todos los datos y mediciones que fluyen a través de su red hacia un dispositivo receptor. Por lo general, consta de resultados de escaneo, cargas, descargas, flujo de tráfico y más. Estos datos, verificables y fáciles de interpretar por parte de personal de seguridad capacitado, pueden ayudar con la detección inmediata de incidentes.
- Escanear en busca de amenazas y rastrear Internet para catalogar información que pueda analizarse y categorizarse. Esta estrategia de bajo costo y rica en información es una herramienta de inteligencia de amenazas lenta pero efectiva y proactiva.
- Análisis y procesamiento de malware. Generalmente realizado por grandes organizaciones de seguridad, esto implica probar las iteraciones más recientes de programas de código malicioso. Al utilizar este procedimiento, el software antivirus y otros desarrolladores de seguridad pueden reaccionar rápidamente a las nuevas versiones del cibercrimen.
- Inteligencia humana o relaciones de código cerrado. Este método implica técnicas encubiertas de “espionaje” que los agentes de seguridad utilizan para acceder a foros, servidores y comunidades cerrados.
- Proveedores de seguridad, CERT, ISP, foros suelen compartir TTPS, indicadores de compromisos o información relevante que nos permite estar actualizados con el comportamiento de los atacantes
Montar una defensa de seguridad cibernética que considere los TTP puede ayudar a su empresa u organización a tomar ventaja contra una amplia gama de amenazas.