Durante la mayor parte de esta década, pasé una buena cantidad de tiempo analizando los marcos de seguridad y cumplimiento. Hay belleza en cada uno de ellos. Algunos son de muy alto nivel y dejan a la organización interpretar cómo implementar los diversos controles, como los controles de seguridad críticos de CIS. Otros son increíblemente prescriptivos y proporcionan instrucciones paso a paso sobre cómo habilitar o deshabilitar varias configuraciones, como los puntos de referencia de hardening de CIS o DIS.

La mayoría se ubica en un punto intermedio, que dicta lo que se debe hacer sin proporcionar pasos de implementación técnica.

He hablado con muchas personas que ya están implementando algún framework de cumplimiento, como PCI o NIST SP800-53, y se encuentran buscando dónde comenzar a implementar los controles de seguridad críticos. Cuando esto sucede, a menudo me refiero a un excelente póster de CIS. Este asignó algunos de los frameworks o marcos de cumplimiento más populares a los 20 controles críticos.

A partir del año pasado, el MITRE ATT&CK Framework ha ganado mucho reconocimiento en la industria. Este marco divide 10 tácticas en cientos de técnicas. Lo que más me gusta, es que cada técnica enumera los mecanismos de mitigación y detección que se pueden implementar.

Además, cada técnica tiene ejemplos del mundo real, de actores de amenazas o campañas de malware que han utilizado la técnica. ATT&CK es un increíble conjunto de información comprensible.

Lo que quería ver era un mapeo de los controles críticos de seguridad con ATT&CK. No pude encontrar nada en Internet, así que lo hice yo mismo.

El mes pasado, revisé y revisé cada control de seguridad crítico individual. Luego, comparé esos resultados con ATT&CK. Para este primer paso, me concentré solo en las técnicas que se aplicaban a Windows. Luego me (Read more...)