Beneficios de la adopción de zero trust a través de los marcos MITRE ATT&CK y D3FEND

Los ciberdelincuentes actúan escaneando las redes y las aplicaciones de sus organizaciones objetivo —su superficie de ataque digital— para elaborar ataques de varios pasos utilizando múltiples técnicas y procedimientos que explotan las vulnerabilidades descubiertas y de día cero. En este documento, consideramos varias clases de amenazas contra las que las empresas deben defenderse y destacamos el uso de los principios de zero trust para aumentar las posibilidades de contener los daños causados por las actividades de los adversarios. A continuación, analizaremos brevemente las tácticas, técnicas y procedimientos de los atacantes, que se codifican en el marco MITRE ATT&CK. Por último, hablaremos del marco MITRE D3FEND y lo relacionaremos con los principios de confianza cero.

En su glosario del Centro de Recursos de Seguridad Informática (CSRC, por sus siglas en inglés), el Instituto Nacional de Estándares y Tecnología (NIST, por sus siglas en inglés) ofrece una definición abstracta para «superficie de ataque», como «el conjunto de puntos en el límite de un sistema, un elemento del sistema o un entorno en el que un atacante puede intentar entrar, causar un efecto o extraer datos de ese sistema, elemento del sistema o entorno».

Otra forma de pensar en la «superficie de ataque» es considerar todas las vulnerabilidades conocidas y desconocidas que acechan a los distintos componentes del entorno digital. Una lista no exhaustiva de estos componentes incluiría:

• Activos físicos y virtuales de red, computación y almacenamiento
  
• Hipervisores, máquinas virtuales, sistemas de orquestación de contenedores, mallas de servicios
  
• El software que se ejecuta en estos activos, como el firmware, los sistemas operativos, el software de gestión de bases de datos, el software de aplicación
  
• Repositorios de imágenes de contenedores, repositorios de imágenes de máquinas virtuales, repositorios de código
  
• API internas y externas, puntos de conexión de microservicios, portales de aplicaciones
  
• Servicios externos al entorno local, pero consumidos localmente, como los servicios de validación de identidades, los servidores de tiempo y el almacenamiento remoto de datos
  
• Almacenes de identidad, bases de datos de cuentas de usuarios, almacenes de datos empresariales

Para minimizar el riesgo para el negocio, las organizaciones deben defender sus propios activos digitales y la propiedad intelectual, así como la privacidad de sus clientes y empleados, al tiempo que se ajustan a todos los requisitos de cumplimiento normativo. Deben hacerlo y, al mismo tiempo, garantizar que los flujos de trabajo empresariales y las experiencias digitales sigan estando disponibles y sean fiables. La solución a este reto es adherirse a los principios de confianza cero: utilizar el mínimo privilegio, verificar explícitamente, evaluar continuamente y asumir el incumplimiento.¹ Al hacerlo, las organizaciones pueden hacer frente a diferentes clases de amenazas, como se discute en las siguientes secciones.

Los datos son la sangre de las empresas digitales modernas, por lo tanto, los atacantes tienen fuertes motivaciones financieras para ir tras los datos de una organización. Una vez robados, pueden venderlos en la dark web, o pueden ser usados por otras partes para causar más daño al propietario de los datos. Una organización también puede ser presa del ransomware, en el que los atacantes hacen que los datos de la organización no estén disponibles, ya sea cifrando los datos en el lugar o eliminándolos por completo de la infraestructura de la organización. Los atacantes pueden entonces exigir un pago —un «rescate»— a la víctima a cambio de restaurar los datos. Un tercer tipo de ataque a los datos, utilizado por actores que simplemente desean hacer daño, consiste en corromper sutilmente los datos, interrumpiendo así los procesos empresariales y las experiencias digitales que dependen de ellos.

La fuga de datos, o violación de la privacidad de los datos, se produce cuando un adversario accede a información confidencial sin el consentimiento del propietario. Además del impacto en la propiedad intelectual, estos ataques suelen causar daños a la marca y pérdida de confianza. La ley exige que las organizaciones que sufren una violación de la privacidad de los datos informen de cualquier pérdida de datos que contengan información personal identificable. Las técnicas de phishing, el aprovechamiento de las vulnerabilidades de las aplicaciones públicas y el uso de cadenas de suministro comprometidas son métodos populares para infiltrarse en el entorno digital donde se almacenan los datos.

Un ejemplo notable y reciente es el ataque a la cadena de suministro de SolarWinds², que los adversarios utilizaron para penetrar en miles de empresas y organizaciones gubernamentales. Este acceso inicial sirvió de trampolín para los siguientes pasos de explotación del ataque al establecer una presencia persistente en la infraestructura digital, permitiendo así el movimiento lateral a través de múltiples aplicaciones y redes de las víctimas. En última instancia, estas tácticas condujeron a los objetivos finales del atacante: comprometer las credenciales/contraseñas y exfiltrar los datos de la víctima.

Otra forma de ataque contra los datos son los ataques de «ransomware», en los que los hackers despliegan programas maliciosos para interrumpir o bloquear por completo los procesos empresariales clave. Lo más habitual es que cifren o eliminen datos empresariales cruciales, interrumpiendo así los flujos de trabajo críticos. En algunos casos, también cifran o eliminan los datos del almacén de datos de autenticación de identidad, lo que bloquea por completo a los usuarios legítimos del sistema. Solo al recibir el «rescate» los atacantes restauran el acceso al sistema o descifran los datos. En mayo de 2021, un ataque de ransomware paralizó Colonial Pipeline³, que transporta gasolina y combustible para aviones al sureste de Estados Unidos.

Algunos adversarios utilizan un enfoque más sutil en sus ataques a los datos. En lugar de exfiltrar los datos o hacerlos inaccesibles, estos sofisticados atacantes realizan pequeños cambios dirigidos a los datos in situ de la organización, y el resultado se obtiene a través de los flujos de trabajo normales de la aplicación de cara al exterior. Los ejemplos incluyen el aumento de la fracción de asientos de avión que se venderán con descuento, la manipulación de una base de datos de suministro de inventario para que parezca que hay más o menos artículos a la venta, o la adición de un código de descuento especial en un sitio de comercio electrónico. Estos cambios «sigilosos», que a menudo son difíciles de detectar hasta que el daño está hecho, se aprovechan de los propios flujos de trabajo del negocio de la víctima para extraer valor para el atacante.

Los piratas informáticos lanzan ataques que consumen recursos de la red y de la infraestructura informática de tal forma que los procesos empresariales se paralizan o funcionan de forma ineficaz. Los objetivos de este tipo de ataques varían desde dañar la marca de la organización objetivo hasta extorsionar para conseguir un resultado empresarial específico, como hacer que la venta de entradas online no esté disponible. Además, los atacantes avanzados suelen utilizar este tipo de ataque como cortina de humo mientras llevan a cabo otros ataques simultáneos más sofisticados.

Los atacantes utilizan redes de bots para dirigir el tráfico hacia los recursos del objetivo y lanzar ataques de denegación de servicio distribuidos (DDoS). Los ataques DDoS volumétricos inundan la red del objetivo con tráfico, consumiendo todo el ancho de banda disponible. Los ataques DDoS de protocolo envían tráfico especializado para llenar las tablas de conexiones de los dispositivos de red con estado —como los cortafuegos—, de modo que las conexiones legítimas se eliminan. Los ataques DDoS de aplicación consumen recursos en los servidores con peticiones ilegítimas.

Los atacantes pueden obtener acceso no autorizado a los recursos informáticos para realizar cálculos en nombre del atacante, cuyos resultados se comunican a un servidor de mando y control. Esto se suele hacer para ejecutar código de minería de criptomonedas en segundo plano, sin que el propietario del ordenador lo sepa. La suplantación de identidad y las descargas «drive-by» son métodos típicos utilizados para desplegar el código de minería de criptomonedas en los ordenadores. Los hackers utilizan la táctica de movimiento lateral MITRE ATT&CK para aumentar su capacidad de CPU robada y la táctica de persistencia para mantener su capacidad de ejecutar cálculos no autorizados.

Los actores con intenciones maliciosas causan daño a las organizaciones al abusar de los flujos de trabajo o de las experiencias de usuario. Estas amenazas pueden conducir a la pérdida de ingresos, daños en la marca y mayores costes operativos para hacer frente al fraude.

Los hackers, motivados por el beneficio personal, utilizan procesos empresariales legítimos para perjudicar a las organizaciones. Por ejemplo, pueden utilizar la automatización para comprar un número considerable de entradas para un evento popular, imposibilitando que otros las compren, y luego venderlas a un precio más alto.

La información empresarial puede ser extraída del sitio web público de una organización o robada de los sistemas internos, y luego utilizada de forma perjudicial para la organización. Por ejemplo, un competidor puede extraer información sobre los precios y bajar los suyos para atraer a los clientes.

Los hackers pueden modificar el contenido de un sitio web de cara al público y desfigurarlo para avergonzar a una organización. También pueden alterar el contenido para ofrecer información incorrecta a los usuarios del sitio web.

Los estafadores encuentran formas de realizar transacciones financieras en nombre de otros usuarios para beneficiarse de ellas. Utilizan credenciales robadas para apoderarse de una cuenta o engañan a los usuarios desprevenidos para que vayan a un sitio que se parece a uno que utilizan normalmente y entreguen las credenciales de su cuenta. Este tipo de fraude suele realizarse en sitios de comercio electrónico o en portales de instituciones financieras. Durante la época del COVID, muchos defraudadores se dedicaron al fraude del desempleo, en el que presentaban solicitudes fraudulentas de desempleo utilizando identidades robadas y dirigían las prestaciones hacia ellos mismos.⁴

Los adversarios persistentes que lanzan amenazas contra una organización son pacientes, organizados y muy hábiles. Para causar daño, el atacante debe alcanzar varios objetivos tácticos, como la recopilación de inteligencia, la obtención de acceso inicial, el establecimiento de un punto de entrada, el robo de información, la exfiltración de datos, etc. El marco MITRE ATT&CK⁵ enumera los objetivos tácticos, las técnicas para alcanzarlos y los procedimientos para aplicar esas técnicas. Los defensores pueden utilizar este marco para seccionar los ataques y conocer su conjunto de tácticas, técnicas y procedimientos (TTP), que pueden encontrarse en el sitio del marco MITRE ATT&CK. Observamos que para cada táctica y sus técnicas asociadas, la adhesión a los principios de confianza cero en todo el entorno digital reduce la probabilidad de éxito del atacante y aumenta la probabilidad de detección temprana de su actividad, como se representa en la Figura 1.

El marco D3FEND ofrece una base de conocimientos sobre contramedidas y un gráfico que «contiene tipos y relaciones semánticamente rigurosos que definen tanto los conceptos clave en el ámbito de las medidas de ciberseguridad como las relaciones necesarias para vincular esos conceptos entre sí»⁷. Este marco ayuda a los profesionales de la seguridad a considerar las capacidades necesarias para defenderse de las amenazas relevantes para su entorno digital.

Además, es posible pensar en el riesgo de seguridad en términos de preparación contra los diversos TTP enumerados en el marco MITRE ATT&CK haciendo un balance de la capacidad de ejecutar las contramedidas pertinentes enumeradas en el marco D3FEND. El tejido conectivo entre los dos marcos es la abstracción del «artefacto digital». Cuando los atacantes emplean un conjunto de TTP para llevar a cabo su ataque, su actividad produce artefactos digitales observables. El marco D3FEND ayuda a los profesionales a observar específicamente cómo buscar los artefactos digitales producidos por la actividad del adversario y ayuda a construir un plan defensivo procesable.

Las categorías de las contramedidas de MITRE D3FEND se corresponden perfectamente con las técnicas de seguridad basadas en los principios de confianza cero, como se ve en la figura 2.

Las aplicaciones y experiencias digitales de hoy en día están impulsadas por el deseo de las empresas de lograr una mayor participación por parte de una amplia variedad de clientes objetivo, incluyendo tanto humanos como dispositivos inteligentes, en el amplio contexto de los ecosistemas de empresas digitales interconectadas que atienden a plantillas de trabajo y bases de clientes cada vez más móviles. Al mismo tiempo, la necesidad de aumentar la agilidad y la eficiencia del negocio ha hecho que las arquitecturas de las aplicaciones aprovechen mucho más los componentes de código abierto y SaaS. En consecuencia, la aplicación principal depende de una infraestructura más profunda y menos controlada que nunca. Los requisitos empresariales modernos han impulsado el aumento de la complejidad de la arquitectura de las aplicaciones, lo que ha dado lugar a la exposición de una superficie de amenaza más amplia y dinámica, que está siendo explotada por adversarios sofisticados que están mejor financiados y más motivados que nunca.

El marco MITRE ATT&CK ofrece una nomenclatura organizada para las tácticas, técnicas y procedimientos que los delincuentes utilizan para componer ataques complejos. El marco MITRE D3FEND especifica un gráfico de contramedidas que las organizaciones pueden utilizar para detectar artefactos digitales observables producidos por los TTP utilizadas en un ataque. Las contramedidas de MITRE D3FEND pueden asociarse a varios principios de confianza cero, y la adhesión a estos principios hace que el mecanismo específico de aplicación de contramedidas sea más eficaz.

Descargar el informe