TL;DR
Gracias al threat modeling (en español modelado de amenazas), se puede dar una visión estratégica de las principales amenazas con el objetivo de enfocar los esfuerzos de priorización en aquellos puntos donde más riesgo pueda existir.
Desde una visión de Cyber Threat Intelligence, el foco se centra en la identificación de actores y eventos junto a los TTPs y Tradecraft utilizados en los mismos, relacionándolo de esta manera a la actividad de nuestra organización.
El modelo tiene una ventaja y es que puede ser tan flexible como lo deseemos, lo cual ayuda a adaptarse a nuestras necesidades de inteligencia.
Objetivo
El principal objetivo del threat modeling, es conocer aquella información y/o activos que se consideran críticos para el negocio de la organización, después de esto, se podrá relacionar con potenciales amenazas que pudieran llevar a cabo algún ataque para conseguir sus objetivos finales.
Teniendo claro lo anterior, lo primero es conocer esa información o activos que pensamos que son importantes para la organización. Para conseguir esto, podríamos hacernos la siguiente pregunta:
¿Qué información y/o activos críticos para la organización tengo para ser objetivo de un ataque?
Para poder responder bien a esta pregunta, debemos de ponernos desde el punto de vista de un actor malicioso que tuviera como objetivo nuestra organización. Por supuesto, la respuesta de esta pregunta variará en función de sector al que pertenezca nuestra organización y las actividades que realice, ya que si fuésemos un banco, uno de los claros objetivos por parte de un actor malicioso, sería acceder a información relacionada con transacciones, sin embargo, si nuestra organización se trata de una infraestructura crítica, uno de los objetivos podría ser acceder y controlar los HMIs.
Una vez conozcamos el objetivo que motivaría a un actor malicioso atacarnos, es hora de realizar un modelo para nuestra organización.
Elaboración
Antes de empezar a trabajar sobre nuestro modelo, es importante mencionar que es aconsejable que se actualice de manera periódica, ya sea porque la organización introduce nueva información crítica o porque existen nuevas amenazas y capacidades diferentes (también puede haber amenazas que dejen de impactar a las operaciones de la organización).
Lo primero que se tiene que realizar tal y como se comentaba en el punto anterior, es identificar aquella información o activos críticos para la organización. En este ejemplo, nuestra empresa se llamará ACME y estará relacionada por su actividad al sector de media.
Llega el momento de hacernos la pregunta del punto anterior.
¿Qué información y/o activos críticos para la organización tengo para ser objetivo de un ataque?
Teniendo claro que el sector de ACME se trata de media y únicamente a modo de ejemplo, se pondrá a continuación tres puntos críticos de la organización que pueden ser susceptibles de ataques:
· Propiedad intelectual de ACME sobre un bien generado.
· Producción TV, refiriéndose de esta manera a la red de producción donde se encuentran los directos de televisión.
· Futuros estrenos que estén acordados pero que no sean públicos por el momento.
En primera instancia y siendo lo más importante, se ha conseguido identificar aquello que la organización trata como lo más crítico. En muchos casos, para conseguir esta información, se requerirá y se recomienda interacción con diferentes departamentos para evaluar aquello que creen que pueda parecerle importante para los servicios y funcionamiento de la organización.
Llegados a este punto y dentro de los tres bloques que se han definido en el modelo, se podría pensar que tipos de amenazas aplicarían a esta casuística por sus motivaciones y objetivos. Es muy importante hacer especial hincapié en los objetivos y motivaciones, ya que no todas las amenazas buscan lo mismo.
Para el bloque de futuros estrenos, podría ser válido un actor con motivaciones de espionaje industrial o espionaje en general, que tenga como objetivo conocer nuevos estrenos televisivos de series en la cadena. ¿Sería posible que un actor desplegara capacidades para espiar a la organización ACME? Probablemente, sí.
Para el bloque de propiedad intelectual, podría valer también un actor con motivaciones de espionaje, pero en este caso, en vez de querer conocer nuevos estrenos, su objetivo podría ser el de exfiltrar información de propiedad intelectual al público o venderla y obtener beneficios económicos por ella.
Por último, para el bloque de producción TV, podría existir una motivación hacktivista que tenga como objetivo algún tipo de protesta. Este tipo de actividades, por lo general pueden dejar sin servicio o mostrar mensajes personalizados en los canales que se emiten en directo por televisión.
Una vez se han definido las posibles motivaciones que podrían existir sobre aquello que se ha definido como crítico, puede incorporarse al modelo y relacionarlo.
El siguiente paso que hay que tomar para que siga cogiendo forma el árbol, es relacionar esas amenazas que se han introducido a alto nivel como son “hacktivistas” y “actores con motivación de espionaje” a un nivel más bajo dándole nombres y apellidos.
En esta parte entran en juego los analistas de Cyber Threat Intelligence, que con su conocimiento sobre el panorama de las amenazas que existe a día de hoy junto a sus herramientas de trabajo, podrán relacionar todos aquellos actores que lleven a cabo campañas con estas motivaciones.
Para seguir, existen dos caminos, pudiéndose tomar uno de los dos, o los dos incluso, son los siguientes.
1. Relacionar las amenazas de alto nivel con los APTs que tengan las motivaciones y actividades que hemos descrito anteriormente.
2. Relacionar las amenazas de alto nivel con actores que se hayan tratado en incidentes internos pasados. (Este punto no hay que obviarlo ya que, la inteligencia generada de manera interna con los incidentes pasados, puede dar un mejor entendimiento de las amenazas que impactan de manera directa nuestra organización)
Tal y como se ve, y a modo de ejemplo para que pueda servir de referencia, se han añadido tres APTs diferentes que han tenido como objetivo el sector Media y que además, una de sus motivaciones ha sido el espionaje, teniendo como un nivel más superior la propiedad intelectual y futuros estrenos.
Por otro lado, tenemos aquellas amenazas vinculadas con actividades hacktivistas, donde se ha relacionado con un grupo que ha realizado ataques contra nuestra organización, concretamente los incidentes número 41 y 52, para tener una mayor referencia.
El modelo crece en forma de árbol por sí sólo y de manera muy ágil, ayudando a tener una idea con simplemente un vistazo de todo aquello que puede ser un riesgo para la organización, y todo esto, con un contexto bajado a la tierra que se trata de la información crítica manejada por ACME.
El modelo puede crecer tanto como nosotros queramos hacerlo crecer. Por ejemplo, en el punto en el que se encuentra, podríamos agregar aquellas herramientas que han utilizado los diferentes actores para llevar a cabo sus ataques. De esa manera, se podrían realizar simulaciones de ataque con las mismas herramientas para ver las capacidades de detección que tiene el equipo correspondiente que identifica e investiga este tipo de sucesos.
Es cierto que si tenemos una gran cantidad de actores podría convertirse en un modelo muy grande e inmanejable, es por ello que en este punto la figura del CISO toma un papel fundamental, donde tiene que priorizar los requerimientos de inteligencia haciendo foco en un actor o dos en primer lugar, de esta manera se avanza progresivamente hasta conseguir el objetivo de minimizar al máximo posible los riesgos. Supongamos que en este caso, existe un requerimiento de obtener información sobre el APT Sofacy.
En este caso, se añaden tres bloques de capacidades utilizadas por el APT Sofacy (por supuesto, habría que añadirlas todas). De cara a una mejor simulación de actividad, es interesante añadir LOLBINS (Living Off The Land Binaries and Scripts) utilizados en sus campañas para no quedarnos únicamente en aquellas herramientas que han desarrollado por si mismo o aprovechado código de otras.
También, como se puede apreciar existe un evento vinculado donde se realizó un ataque a la cadena de televisión internacional TV5Monde de lengua francesa. Este ataque nos puede dar contexto de las motivaciones y objetivos que tuvo el grupo a nivel estratégico y, brindarnos información como puede ser TTPs y Tradecraft a nivel operacional.
Por supuesto, tal y como se comentó un poco más arriba, el modelo podría seguir creciendo si fuese necesario. Imaginando que existe un requerimiento táctico de inteligencia para realizar las operaciones lo más real posible por un red team, se solicita agregar las tácticas y técnicas de una de las capacidades que ejecuta Sofacy, quedando el modelo de la siguiente manera que se muestra a continuación.
Todo lo visto hasta aquí, se realizará en función de las necesidades de cada organización. Por lo general, no existen dos modelos iguales, incluso de dos organizaciones del mismo sector ya que, lo que para una puede resultar crítico para la otra podría no serlo.
Si el objetivo es ser proactivo ante las amenazas que puedan afectar a los intereses de una organización, el threat modeling puede ayudar a minimizar los riesgos y priorizar lo verdaderamente importante.
Espero que os haya gustado mi primera entrada!
LinkedIn: https://linkedin.com/in/joseluissm/
