En toda nuestra historia reciente, el cibercrimen ha recurrido a una tipología de estrategias muy variada para llevar a cabo sus delitos. Y los defensores de la ciberseguridad empresarial e institucional, por su parte, se han ido a adaptando a dichas metodologías para poder frenar su actividad, siempre acudiendo a una necesidad de ciberresiliencia que, a día de hoy, se ha vuelto imprescindible.

Sin embargo, hay algunos patrones y estructuras de funcionamiento que se han ido estandarizando con el paso del tiempo. Uno de ellos son las famosas Tácticas, Técnicas y Procedimientos (TTP), que han ido marcando el camino a seguir por los ciberdelincuentes y a vigilar por parte de servicios de defensa de ciberseguridad.

¿Qué son las TTP?_

Las TTP constan de tres conceptos esenciales:

1.- Tácticas. Las tácticas, grosso modo, son el vector con el que los ciberdelincuentes buscan desarrollar su actividad y lograr su objetivo. Para realizar un ciberataque pueden optar por movimientos laterales, escalado de privilegios o exfiltración, por ejemplo.

2.- Técnicas. Las técnicas son los métodos (no necesariamente prescriptivos ni concretos) que van a ser empleados para conseguir la táctica. Son las tareas que se llevan a cabo para lograr el objetivo táctico. Por tanto, cada táctica puede estar compuesta de varias técnicas. En caso de querer realizar un movimiento lateral se puede optar por atacar el RDP o usar técnicas como SSH Hijacking o vulnerar las carpetas de administrador de Windows (como C$)..

3.- Procedimientos. El concepto de procedimientos ya se sale de lo abstracto y entra en lo concreto: se trata de los pasos determinados y preconfigurados que un ciberdelincuente va a llevar a cabo para desplegar sus técnicas y, finalmente, conseguir que su estrategia tenga éxito. Siguiendo con el ejemplo de los movimientos laterales, para lograr vulnerar la carpeta de administrador de Windows C$, un procedimiento sería utilizar la herramienta SysInternals PsExec para crear un binario que ejecute un comando y lo copie en un Windows Admin Share y así arrancar un servicio en esa carpeta.

Las TTP en acción_

La combinación de tácticas, técnicas y procedimientos puede ser muy variada. Por tanto, los ejemplos son numerosos. Estos son dos casos en los que se han empleado distintas TTP.

1.- Ataque a plataformas de juego online (2018)

  • Táctica: implementar una táctica de impacto para tumbar los sistemas informáticos de plataformas como Steam, EA, Riot Games o la infraestructura de la Xbox de Microsoft.
  • Técnica: ataque de denegación de servicio distribuido (DDoS, por sus siglas en inglés).
  • Procedimientos: saturar el host o la red objetivo con tráfico excesivo hasta que no pueda responder o colapse.

2.- WannaCry (2017)

  • Táctica: combinación de evasión de defensas, impacto y movimientos laterales, entre otros.
  • Técnicas: modificación de permisos de archivos, cifrado de archivos de los usuarios exigiendo una recompensa para descifrar dichos archivos, enumeración de sesiones de escritorio remoto para intentar ejecutar el malware en cada sesión…
  • Procedimientos: uno de los procedimientos sería utilizar attrib +h y icacls . /grant Everyone:F /T /C /Q para ocultar algunos archivos y garantizar a todos los usuarios controles de acceso completo.

¿Cómo aprovechar las TTP para defenderse del cibercrimen?_

Conocer las distintas combinaciones de TTP es la mejor manera de combatir el cibercrimen: seguir una serie de pautas debidamente desarrolladas y que conjuguen las acciones automáticas con la verificación manual y humana ayuda a elevar el nivel de seguridad de las organizaciones.

El marco ATT&CK Matrix, establecido por MITRE, por ejemplo, constituye un buen procedimiento para que los equipos de ciberseguridad avanzada identifiquen las TTP y les hagan frente. Para empezar, porque este método permite que puedan hacer un seguimiento y monitorización continuos de la actividad dentro del sistema informático de una compañía, de modo que pueden ir encontrado comportamientos anómalos y detenerlos antes de que vayan a más. De hecho, gracias a dicha matriz, los profesionales de ciberseguridad pueden detectar procedimientos que sean sospechosos, con lo que los situarán en el radar antes de que la táctica de los ciberdelincuentes haya surtido efecto. ATT&CK Matrix es esencial en el sentido de que sus procedimientos de actuación nos ayudarán tanto a detectar posibles intrusiones como a analizar el comportamiento de quienes las están intentando llevar a cabo.

Hay más iniciativas que ayudan a luchar contra las nuevas TTP. Es el caso de OPSWAT o CTA: la primera contribuye a mejorar la seguridad informática de las compañías analizando sus métodos de defensa, auditándolos, mejorándolos y publicando conclusiones útiles para cualquier sector; la segunda, por su parte, constituye un tratado en el que un número incipiente de compañías comparten conocimiento relacionado con ciberseguridad para crear un entorno más seguro para todos. En definitiva, son dos organizaciones en las que las empresas comparten ciberinteligencia para combatir las TTP más innovadoras.

Por otro lado, tecnologías como la inteligencia artificial y el machine learning también pueden complementar estas labores de ciberinteligencia, ya que no solo chequean los procesos de manera automática, sino que además aprenden de su propia experiencia. Así pues, un procedimiento o técnica que previamente fuese marcado como peligroso volverá a hacer saltar las alarmas la próxima vez que se manifieste. Así mismo, si los cibercriminales emplean nuevas técnicas, estas acabarán siendo identificadas y se producirá una respuesta ante ellas.

Todas estas formas de actuación parten de una actitud común: la ciberresiliencia, que asume que el cibercrimen va renovando constantemente sus tácticas, técnicas y procedimentos, de modo que la solución de ciberseguridad se va adaptando a las nuevas formas de ciberataque y resulta de gran ayuda para los Security Operations Centers (SOCs).

Dentro de este contexto, Cytomic Orion, nuestra solución de threat hunting e incident response, combina los dos tipos de tareas para identificar las TTP y frustrar potenciales ciberataques. Por un lado, su consola monitoriza todos los procesos del sistema en tiempo real para detectar actividad anómala y acabar con ella lo antes posible, protegiendo los endpoints con ciberdefensa avanzada. Por otro, nuestro equipo de hunters va un paso más allá y aporta un valor añadido llegando hasta donde no llegan los procesos automáticos gracias al trabajo de análisis y research de nuestros profesionales de ciberseguridad.

Se trata, en definitiva, de que si los cibercriminales cada vez actúan de manera más diversa, organizada y estructurada, las compañías e instituciones hagan lo mismo a la hora de proteger su ciberseguridad empresarial. Solo así se podrán asegurar de que van un paso por delante de sus adversarios.