Post on 14-Oct-2020
#CyberCamp19
Emulación de adversarios: De entender
ATT&CK a construir tu propia emulación
Pablo González @pablogonzalezpe
Whoami Ingeniero Informático & Máster Seguridad Informática 2009 – 2013 Informática 64 2013 - ?? Telefónica Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos libros (0xWord):
Metasploit para pentesters Pentesting con Kali Ethical Hacking Got Root Pentesting con Powershell
Índice 1.Ejercicios de Red Team 2.Matriz ATT&CK 3.El plan de emulación 4.Herramientas. Caldera o Infection Monkey 5.Construcción de herramienta 6.Conclusiones
#CyberCamp19
1. Ejercicios de Red Team
Empezando…
Ejercicios de Red Team
Partiendo de la base de que un ejercicio de Red Team va a ser diferente en función de los activos objetivo
Se puede “extraer” unas pautas (en forma de metodología)
Ejercicios de Red Team
1. Definición yplanificación depruebas
2. Reconocimiento externo yvectorde acceso
3. Compromiso inicial
4. Acceso interno alaorganización
5. Elevación deprivilegios
Ejercicios de Red Team
6. Implantación de persistencia
7. Reconocimientointernoe identificación de activos
8. Movimiento lateral
9. Ejecución de pruebas
10. Documentación (Fin ejercicio)
Ejercicios de Red Team
Proceso continuo
Ejecución puntual
Ejecución continua
Importante para la toma de decisiones
Ejercicios de Red Team
Demostrar nivel exposición y riesgo
Demostrar impacto de negocio
Demostrar capacidades de prevención
Demostrar capacidades de detección
Demostrar capacidades de reacción o respuesta ante incidentes
Ejercicios de Red Team
#CyberCamp19
2. Matriz ATT&CK
Conceptos
Matriz ATT&CK
MITRE ATT&CK es una base de conocimiento de acceso global de tácticas y técnicas adversarias basadas en observaciones del mundo real
La base de conocimientos de ATT&CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad
Matriz ATT&CK
Las tácticas se utilizan para describir los pasos de ataque de alto nivel utilizados por un adversario
MITRE ATT&CK asume la brecha y por lo tanto la "primera" táctica es la intrusión inicial. Cualquier actividad realizada anteriormente está cubierta por el marco de PRE-ATT&CK.
Matriz ATT&CK
La forma en que se ejecuta una determinada táctica se describe mediante una variedad de técnicas. Para cada técnica, MITRE ATT&CK incluye una descripción, recomendaciones de detección y prevención y actores de amenazas conocidos que utilizan la técnica.
https://mitre-attack.github.io/attack-navigator/enterprise/#
Matriz ATT&CK
Matriz ATT&CK
#CyberCamp19
3. Plan emulación
Planificación
APT3. Caso uso real
APT3. Caso uso real
¿Cuánto tiempo y esfuerzo se dedicará durante el compromiso?
¿Qué actores en la amenaza (y técnicas adversarias relacionadas) son relevantes para la organización?
¿Qué técnicas cree la organización que están cubiertas por los controles de seguridad?
¿Qué técnicas cree la organización que se detectan mediante el seguimiento de los casos de uso?
#CyberCamp19
4. Herramientas Caldera o Infection Monkey
Herramientas
Herramienta para automatizar la emulación de adversarios
Existen otros, por ejemplo, Infection Monkey
Caldera
Infection Monkey
Herramientas
Agentes que se lanzan en máquinas de la organización
Serán controlados desde la GUI de Caldera
No se recomienda desplegar más de 20
Se recomienda simular el dominio
Herramientas
Herramientas
Herramientas
Herramientas
Herramientas
#CyberCamp19
5. Construcción
A por ello
Construyendo herramienta
#CyberCamp19
6. Conclusiones
Fin
Conclusiones
La emulación de adversarios ayuda a poner a prueba las protecciones y equipos de la organización
La idea es emular la amenaza real a través de un plan
Entorno controlado para realizarlo
Facilidad para incluir nuevas técnicas y tácticas en la matriz y en las herramientas
GRACIAS
@CybercampES
#CyberCamp19