You have not selected any currencies to display

Bl0ckch41nnewsEl modelo diamante vs MITRE ATT&CK

23


El
Modelo DIAMOD
sirve para describir relaciones de alto nivel entre Adversarios, sus
Capacidades, Infraestructura y Víctimas de intrusiones. Si bien el modelo de
diamante se usa más comúnmente con intrusiones únicas y aprovechando el
subproceso de actividad como una forma de crear relaciones entre incidentes,
un enfoque centrado en el adversario permite crear un diamante, aunque
desordenado.

El Modelo Diamante establece el evento como el elemento más básico de
cualquier actividad maliciosa y se compone de cuatro características
principales: el adversario, la víctima, la infraestructura y la capacidad.
Toda actividad maliciosa contiene estas características (como lo establece el
Axioma 1). Por lo tanto, cualquier búsqueda (cacería) se basa en última
instancia en estas características y enfoques.

Adversario

Un adversario es cualquiera que busque comprometer sus sistemas o redes para
promover su progreso hacia los objetivos. La definición es deliberadamente
amplia para reflejar el hecho de que un adversario podría ser una persona
interna maliciosa, un actor de amenaza externo, un grupo de amenaza o incluso
una organización. Al momento de descubrir inicialmente cualquier evento de
intrusión, es poco probable que sepas quién es el adversario.

Capacidad

Una capacidad es una herramienta/técnica desplegada por un adversario en un
evento. Las capacidades potenciales utilizadas por varios adversarios son casi
infinitas, pero algunos ejemplos incluyen adivinar contraseñas por fuerza
bruta, instalar puertas traseras para establecer comando y control, etc.

Infraestructura

La infraestructura no es la infraestructura de su entorno de TI. Más bien, el
término se relaciona con las estructuras de comunicación que los delincuentes
informáticos utilizan para ofrecer sus capacidades. Los ejemplos incluyen
nombres de dominio, dispositivos USB, cuentas comprometidas, servidores de
almacenamiento de malware, etc.

Víctima

La víctima es el objetivo de un adversario contra el que pretende utilizar sus
capacidades. El modelo establece que una víctima no siempre tiene que ser una
persona o una empresa; podría ser una dirección de correo electrónico o un
dominio.

Dada esta gama de posibilidades, puede ser más granular al definir a las
víctimas dividiéndolas en personas de la víctima (personas, empresas) y
activos de la víctima (la superficie de ataque que abarca todos los activos de
TI contra los cuales un adversario puede usar capacidades).

MITRE ATT&CK

El framework de MITRE ATT&CK se utiliza para documentar Tácticas, Técnicas y Procedimientos (TTP)
comunes utilizan las amenazas avanzadas contra redes empresariales.

Tacticas

Las Tácticas representan el por qué de una técnica o subtécnica. Es el
objetivo táctico del adversario: el motivo de realizar una acción.

Technicas

Las Técnicas representan cómo un adversario logra un objetivo táctico al
realizar una acción.

Fuente:
Active Response
|
Elastic.co



Source link

Los comentarios están cerrados.