Nounou Mbeiri


Investigador CTI.Ingeniero en ciberseguridad.Colaborador en Comunidad GINSEG y congreso IntelCon.Multilingüe con experiencia en administración de sistemas y redes y especializado en ciberseguridad.Apasionado del Blue Team y de la seguridad de la información.




   Ponencia



Análisis profundo de los TTPs con el uso MitreAttack-CTI

Hoy en día es de primordial importancia utilizar el framework de Mitre Attack para el análisis de ciberamenazas. Dicho framework permite a un analista buscar información sobre los APTs, TTPs, detecciones y mitigaciones que han sido observadas en el mundo de las ciberamenazas.

Una metodología de análisis de las Amenazas Persistentes Avanzadas (APTs) podría consistir en usar la potente herramienta Mitre-Assistant. Otra metodología útil sería exportar y analizar la base de datos Mitre Attack con la herramienta de análisis de datos Jupyter Notebook.

Estas metodologías de análisis nos van a permitir tener una visión y un entendimiento muy profundo de los TTPs a la hora de perfilar un APT. Es decir, tener el poder de ver dónde está centrado el esfuerzo de las técnicas a la hora de lograr una táctica, si tenemos una telemetría para la detección, mitigación o perfil de emulación, etc. Además nos va a poder facilitar el análisis toda esa información y contextualizar la amenaza de forma rápida, accionable y hacer la vida del analista de ciberamenazas mucho más fácil.

Voy a elegir un APT relevante como ejemplo para el análisis.Dicho proceso de análisis va a estar enfocado específicamente al nivel operacional y técnico del threat actor(APT). En primer lugar, enseñaré la utilidad de la herramienta Mitre-Assistant y luego me centraré en la segunda metodología que consiste en el análisis de la colección TAXII de MitreAttack con la herramienta de análisis de datos Jupyter Notebook.Primero obtendré información de dicho APT y luego iré sacando y analizando las Tácticas, Técnicas y Procedimientos (TTPs), malwares, herramientas, y patrones de ataque. Después correlacionaré los TTPs con las diferentes fases de intrusión de MitreAttack para tener una visión con un contexto más relevante sobre la amenaza (APT).

Iré también enseñando cómo mapear esos TTPs analizados del paso previo a las fuentes de datos de mitigación y detección de MitreAttack que nos van a permitir tener información muy relevante sobre cómo detectar esos TTPs en nuestro sistema de información y cómo prevenir y mitigar su impacto.

Por último enseñaré la utilidad de mapear los TTPs del threat actor(APT) al proyecto (OSSEM) Detection Model (DM) que nos va a permitir tener una capa adicional donde podemos tener una visión muy completa sobre la detección y el thread hunting de los TTPs.