Cuando leo a través de varios informes de seguridad de la información, blogs y tweets, a menudo veo el acrónimo «TTP» utilizado para describir una miríada de cosas (como Pruebas, Herramientas, Procesos, Programas, etc) relacionadas con la seguridad de la información. Aunque TTP es un acrónimo de uso común, a menudo no es el significado original: Tácticas, Técnicas y Procedimientos. En este post, voy a discutir mi interpretación de TTPs (basado en la doctrina del Departamento de Defensa) y explicar por qué creo que esta es la forma en que se debe utilizar TTP!
TTP según la Publicación Conjunta 1-02
Tácticas, Técnicas y Procedimientos son términos específicos que se originaron en el Departamento de Defensa y se han utilizado durante muchos años para describir las operaciones militares. La Publicación Conjunta 1-02, Diccionario de Términos Militares y Asociados del Departamento de Defensa define específicamente Tácticas, Técnicas y Procedimientos:
Tácticas – El empleo y la disposición ordenada de las fuerzas en relación con las demás.
Técnicas – Formas o métodos no prescriptivos utilizados para realizar misiones, funciones o tareas.
Procedimientos – Pasos estándar y detallados que prescriben cómo realizar tareas específicas.
Ahora que tenemos las definiciones «oficiales», ¿qué significan realmente? Me gusta pensar en ellas como una jerarquía de especificidad, desde la más amplia (Táctica) hasta la más específica (Procedimientos). Para ayudar a aclarar lo que realmente significan en la práctica, voy a repasar y explicar lo que realmente significa cada término con más detalle. Además, utilizaré la metáfora de la «propiedad del coche» para ayudar a describir cada uno de estos términos.
Tácticas
Las tácticas son consideraciones de alto nivel con información específica limitada que dicta cómo deben hacerse las cosas. Normalmente se utilizan con fines de planificación y/o seguimiento, no hay direcciones o instrucciones específicas, sólo una guía general útil para las consideraciones de alto nivel para asegurar que todo lo necesario se complete como parte de un todo mayor.
Para utilizar la analogía de la propiedad de un coche, hay muchas «Tácticas» involucradas en la propiedad de un coche, tales como el suministro de combustible, la limpieza y el mantenimiento preventivo. Cada una de ellas podría ser vista como una «táctica» involucrada en la propiedad de un coche. Para el propósito de este ejemplo, nos centraremos en el «Mantenimiento preventivo» como la táctica elegida en la que profundizaremos.
Técnicas
Las técnicas forman el área gris entre la perspectiva de alto nivel de las tácticas y los detalles muy específicos de los Procedimientos (que discutimos a continuación). Consisten en las acciones que se espera que se lleven a cabo, pero sin instrucciones específicas (es decir, no prescriptivas) sobre cómo completar esa acción. Por lo general, esto da como resultado la identificación de las tareas que deben llevarse a cabo, pero sin microgestión de cómo llevar a cabo la tarea.
Para continuar con la analogía del coche, si la táctica elegida es el «mantenimiento preventivo», habría numerosas técnicas diferentes que podrían emplearse para llevar a cabo esa táctica, como el cambio de aceite, la rotación de los neumáticos, la sustitución de los frenos, etc. Estas técnicas describen las tareas generales que deben realizarse, pero no proporcionan instrucciones específicas sobre cómo llevarlas a cabo. Elegiremos «cambiar el aceite» como la técnica que nos interesa y utilizaremos para hablar de los procedimientos.
Procedimientos
Los procedimientos son instrucciones y/o direcciones detalladas específicas para realizar una tarea. Los procedimientos incluyen todos los pasos necesarios para realizar una tarea específica, pero sin ninguna de las consideraciones de alto nivel o antecedentes de por qué se realiza la tarea. La prioridad de los procedimientos es garantizar unas instrucciones detalladas y completas para que una tarea pueda ser completada correctamente por cualquier persona cualificada para seguir las instrucciones.
Para completar nuestra analogía con el coche, los procedimientos para implementar la técnica de «cambiar el aceite» serían específicos para el coche que se está manteniendo. Esto incluiría toda la información sobre la frecuencia de cambio, el tipo de aceite, el tipo de filtro, la ubicación del tapón de drenaje, las herramientas necesarias, etc. Los procedimientos deben ser tales que cualquier persona (bueno, casi cualquier persona) sea capaz de realizar la tarea descrita utilizando estas indicaciones.
Presentar las Tácticas, Técnicas y Procedimientos como una jerarquía puede ayudar a visualizar las relaciones entre ellos. Para llevar a cabo las Tácticas deseadas será necesario utilizar una o más Técnicas. Para completar las Técnicas deseadas será necesario seguir uno o más Procedimientos. Lo que diferencia a los actores de amenazas «avanzadas» de los demás es su capacidad para implementar nuevas Técnicas o Procedimientos sofisticados que no pueden ser fácilmente replicados por otros, aunque sus Tácticas sean en gran medida las mismas que las de los demás.
¿Cómo se relaciona esto con la «ciber»?
Aunque el TTP se ha utilizado para describir la guerra convencional, también puede ser muy útil para describir la ciberseguridad. Afortunadamente, la Matriz ATT&CK de MITRE ya está diseñada de forma que utiliza esta estructura y proporciona una excelente fuente única de TTPs basados en la seguridad.
Los encabezados de las columnas representan las diversas Tácticas de alto nivel (resaltadas en rojo) que un atacante utiliza como parte del ciclo de ciberataque. Las entradas individuales en la matriz bajo las tácticas representan las técnicas (resaltadas en verde). Como hemos comentado anteriormente, para cada Táctica se enumeran numerosas Técnicas. Al hacer clic en cualquier Técnica, se accede a una página con detalles adicionales de la misma, incluyendo ejemplos de uso real por parte de actores maliciosos. Estos ejemplos representan los Procedimientos utilizados y proporcionan un análisis detallado de las acciones exactas realizadas y los recursos utilizados. Los procedimientos también pueden verse como los hashes específicos o las herramientas y líneas de comando exactas utilizadas para una actividad maliciosa específica. MITRE ATT&CK proporciona un desglose de TTP de fácil acceso en relación con la seguridad informática.
Por ejemplo, cuando un atacante necesita acceder a ordenadores o recursos de la red que no están en su punto de apoyo inicial, tiene que implementar la Táctica del Movimiento Lateral. Una técnica popular es utilizar los recursos compartidos administrativos incorporados de Windows, C$ y ADMIN$, como un directorio de escritura en el ordenador remoto. Un procedimiento para implementar esta técnica podría ser utilizar la herramienta PsExec de SysInternals, que crea un binario para ejecutar un comando, lo copia a un recurso compartido administrativo de Windows, e inicia un servicio desde ese recurso compartido. El bloqueo de la herramienta SysInternals PsExec no eliminará por completo el riesgo de la técnica de Windows Admin Shares; un atacante puede simplemente utilizar un procedimiento diferente, como net use o el cmdlet de PowerShell Invoke-PsExec. Entender la especificidad del ataque y las contramedidas defensivas es crucial a la hora de evaluar la efectividad de los controles de seguridad.
¿Por qué importa esto?
Aparte de intentar aclarar el uso de «TTP», ¿por qué importa toda esta vieja jerga militar en un mundo moderno gobernado por ordenadores? El hecho es que este enfoque para entender la actividad maliciosa te hará un mejor atacante o defensor. Ser capaz de desglosar los ataques complicados en TTPs ayudará a que la detección o replicación de los ataques sea mucho más fácil de entender.
Una comprensión de las diferentes Tácticas involucradas en la seguridad de la información ayudará a planificar cualquier área de deficiencia en su experiencia personal del entorno corporativo y puede enfocar el esfuerzo donde actualmente puede estar faltando conocimiento/cobertura. Por ejemplo, la mentalidad de «Asumir la Violación» es un reconocimiento de que la ciberseguridad efectiva debe reconocer las otras Tácticas utilizadas por los atacantes, en lugar de centrarse totalmente en la prevención del compromiso inicial. Esta perspectiva de alto nivel ayudará a prevenir un descuido en alguna parte del programa de seguridad.
Entender la diferencia entre Técnicas y Procedimientos es también increíblemente importante. Muchas herramientas de seguridad de la red y fuentes de inteligencia de amenazas se centran en los procedimientos específicos utilizados por un actor (como los hashes de las herramientas, los nombres de los archivos y los dominios/IP de C2) en lugar de la técnica general utilizada. En ocasiones, la comunidad de seguridad etiqueta algo como una nueva técnica, cuando debería llamarse más bien un nuevo procedimiento para una técnica existente. Conocer la técnica subyacente y ser capaz de adaptar los procedimientos específicos le convertirá en un mejor operador, independientemente de la función que desempeñe.
Como dice el viejo adagio «Dale a un hombre un pez y lo alimentarás durante un día. Enseña a un hombre a pescar, y lo alimentarás para toda la vida». Cuando se considera la defensa de la red, dar un pescado es como centrarse en los indicadores frágiles de los procedimientos de los atacantes (como los hashes y las IPs específicas). Puede satisfacer sus necesidades temporalmente, pero su eficacia será efímera. Enseñar a pescar es centrarse en la Técnica en uso, entender la tecnología y los comportamientos relacionados con un ataque, y crear contramedidas resistentes que funcionen incluso cuando el atacante adapte o cree nuevos Procedimientos.
Espero que este post haya sido útil para aclarar la diferencia entre Tácticas, Técnicas y Procedimientos, así como para destacar el beneficio de entender cada término.