#CyberCamp19

Emulación de adversarios: De entender

ATT&CK a construir tu propia emulación

Pablo González @pablogonzalezpe

Whoami Ingeniero Informático & Máster Seguridad Informática 2009 – 2013 Informática 64 2013 - ?? Telefónica Director Máster Seguridad de las TIC UEM Co-fundador de Flu Project Founder hackersClub MVP Microsoft 2017-2020 Algunos libros (0xWord):

Metasploit para pentesters Pentesting con Kali Ethical Hacking Got Root Pentesting con Powershell

Índice 1.Ejercicios de Red Team 2.Matriz ATT&CK 3.El plan de emulación 4.Herramientas. Caldera o Infection Monkey 5.Construcción de herramienta 6.Conclusiones

#CyberCamp19

1. Ejercicios de Red Team

Empezando…

Ejercicios de Red Team

Partiendo de la base de que un ejercicio de Red Team va a ser diferente en función de los activos objetivo

Se puede “extraer” unas pautas (en forma de metodología)

Ejercicios de Red Team

1. Definición yplanificación depruebas

2. Reconocimiento externo yvectorde acceso

3. Compromiso inicial

4. Acceso interno alaorganización

5. Elevación deprivilegios

Ejercicios de Red Team

6. Implantación de persistencia

7. Reconocimientointernoe identificación de activos

8. Movimiento lateral

9. Ejecución de pruebas

10. Documentación (Fin ejercicio)

Ejercicios de Red Team

Proceso continuo

Ejecución puntual

Ejecución continua

Importante para la toma de decisiones

Ejercicios de Red Team

Demostrar nivel exposición y riesgo

Demostrar impacto de negocio

Demostrar capacidades de prevención

Demostrar capacidades de detección

Demostrar capacidades de reacción o respuesta ante incidentes

Ejercicios de Red Team

#CyberCamp19

2. Matriz ATT&CK

Conceptos

Matriz ATT&CK

MITRE ATT&CK es una base de conocimiento de acceso global de tácticas y técnicas adversarias basadas en observaciones del mundo real

La base de conocimientos de ATT&CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad

Matriz ATT&CK

Las tácticas se utilizan para describir los pasos de ataque de alto nivel utilizados por un adversario

MITRE ATT&CK asume la brecha y por lo tanto la "primera" táctica es la intrusión inicial. Cualquier actividad realizada anteriormente está cubierta por el marco de PRE-ATT&CK.

Matriz ATT&CK

La forma en que se ejecuta una determinada táctica se describe mediante una variedad de técnicas. Para cada técnica, MITRE ATT&CK incluye una descripción, recomendaciones de detección y prevención y actores de amenazas conocidos que utilizan la técnica.

https://mitre-attack.github.io/attack-navigator/enterprise/#

Matriz ATT&CK

Matriz ATT&CK

#CyberCamp19

3. Plan emulación

Planificación

APT3. Caso uso real

APT3. Caso uso real

¿Cuánto tiempo y esfuerzo se dedicará durante el compromiso?

¿Qué actores en la amenaza (y técnicas adversarias relacionadas) son relevantes para la organización?

¿Qué técnicas cree la organización que están cubiertas por los controles de seguridad?

¿Qué técnicas cree la organización que se detectan mediante el seguimiento de los casos de uso?

#CyberCamp19

4. Herramientas Caldera o Infection Monkey

Herramientas

Herramienta para automatizar la emulación de adversarios

Existen otros, por ejemplo, Infection Monkey

Caldera

Infection Monkey

Herramientas

Agentes que se lanzan en máquinas de la organización

Serán controlados desde la GUI de Caldera

No se recomienda desplegar más de 20

Se recomienda simular el dominio

Herramientas

Herramientas

Herramientas

Herramientas

Herramientas

#CyberCamp19

5. Construcción

A por ello

Construyendo herramienta

#CyberCamp19

6. Conclusiones

Fin

Conclusiones

La emulación de adversarios ayuda a poner a prueba las protecciones y equipos de la organización

La idea es emular la amenaza real a través de un plan

Entorno controlado para realizarlo

Facilidad para incluir nuevas técnicas y tácticas en la matriz y en las herramientas

GRACIAS

@CybercampES

#CyberCamp19