Los TTP (Tácticas, Técnicas y Procedimientos) de un atacante son las acciones que realiza y métodos que utiliza a medida que avanza y desarrolla el ataque. Desarrollar un ataque, desde el reconocimiento hasta el logro del objetivo, proporciona información procesable en dos áreas.
Primero, mapear los TTP de un atacante puede ser útil para atribuir un ataque a un ciberatacante determinado. Dado que muchos atacantes emplean las mismas técnicas (o relacionadas) en cada uno de sus ataques, atribuir un ataque a un atacante específico ayuda a acelerar la atribución y hacer que la respuesta y remediación sea más efectiva.
Por ejemplo, cierto grupo de adversarios podría tender a utilizar un tipo específico de ataque de spearphishing como táctica, o emplear siempre un tipo específico de malware como procedimiento. Esto facilita la identificación de su presencia en el futuro cuando estos TTP se identifiquen nuevamente.
En segundo lugar, comprender cada uno de los movimientos del atacante en la cadena facilita a los analistas de seguridad la creación de detecciones para esos TTP, en lugar de tener que responder siempre a los ataques que ya han ocurrido. Aprovechar estos indicadores a medida que los reúne y los retroalimenta en su ecosistema de seguridad es una parte fundamental de la construcción de una defensa avanzada y persistente en el tiempo.
No obstante, todos los indicadores que puedan hacer referencia a un ataque o atacante van cambiando con el paso del tiempo, ya que los atacantes evolucionan y se adaptan a nuevas herramientas y servicios.
Por eso precisamente, las Tácticas, Técnicas y Procedimientos (TTP) constituyen los indicadores más valiosos y efectivos para detectar ataques, ya que reflejan el comportamiento de un atacante y ayudan a comprender la forma en la que realiza sus ataques. Detectar y prevenir estos indicadores implica hacer más “doloroso”, y, por tanto, más costoso para el atacante conseguir su objetivo.
Primero, mapear los TTP de un atacante puede ser útil para atribuir un ataque a un ciberatacante determinado. Dado que muchos atacantes emplean las mismas técnicas (o relacionadas) en cada uno de sus ataques, atribuir un ataque a un atacante específico ayuda a acelerar la atribución y hacer que la respuesta y remediación sea más efectiva.
Por ejemplo, cierto grupo de adversarios podría tender a utilizar un tipo específico de ataque de spearphishing como táctica, o emplear siempre un tipo específico de malware como procedimiento. Esto facilita la identificación de su presencia en el futuro cuando estos TTP se identifiquen nuevamente.
En segundo lugar, comprender cada uno de los movimientos del atacante en la cadena facilita a los analistas de seguridad la creación de detecciones para esos TTP, en lugar de tener que responder siempre a los ataques que ya han ocurrido. Aprovechar estos indicadores a medida que los reúne y los retroalimenta en su ecosistema de seguridad es una parte fundamental de la construcción de una defensa avanzada y persistente en el tiempo.
No obstante, todos los indicadores que puedan hacer referencia a un ataque o atacante van cambiando con el paso del tiempo, ya que los atacantes evolucionan y se adaptan a nuevas herramientas y servicios.
Por eso precisamente, las Tácticas, Técnicas y Procedimientos (TTP) constituyen los indicadores más valiosos y efectivos para detectar ataques, ya que reflejan el comportamiento de un atacante y ayudan a comprender la forma en la que realiza sus ataques. Detectar y prevenir estos indicadores implica hacer más “doloroso”, y, por tanto, más costoso para el atacante conseguir su objetivo.
Las Tácticas
Las tácticas representan el objetivo táctico de un adversario, es decir, el vector con el que los ciberdelincuentes buscan desarrollar su actividad y lograr su objetivo. Por ejemplo: escalada de privilegios, movimientos laterales o exfiltración.
Las Técnicas
Las Técnicas representan la manera o los métodos que un atacante utiliza para conseguir alcanzar o realizar una Táctica. También representa lo que el adversario obtiene cuando realiza una acción. Ejemplos de Técnicas son fuerza bruta o manipulación de cuentas.
Además, cada Táctica puede estar compuesta de varias Técnicas, ya que pueden existir muchas maneras diferentes de alcanzar un objetivo. Por ejemplo, para realizar un movimiento lateral se puede optar por atacar el RDP o usar Técnicas como SSH Hijacking o vulnerar las carpetas de administrador de Windows (como C$)…
Además, cada Táctica puede estar compuesta de varias Técnicas, ya que pueden existir muchas maneras diferentes de alcanzar un objetivo. Por ejemplo, para realizar un movimiento lateral se puede optar por atacar el RDP o usar Técnicas como SSH Hijacking o vulnerar las carpetas de administrador de Windows (como C$)…
Los Procedimientos
Los Procedimientos son las implementaciones especificas (como por ejemplo, las herramientas) y los pasos concretos que los atacantes usan para llevar a cabo las Técnicas con las que finalmente alcanzar sus objetivos o estrategias.