Impulsando el Crecimiento Empresarial en Tiempos Turbulentos desde la Perspectiva del CEO de SOC Prime: Parte II

Cómo la fusión de Sigma y MITRE ATT&CK® potencia la defensa cibernética colectiva para obtener una ventaja competitiva en la guerra cibernética global

Este artículo se basa en la entrevista original realizada por AIN.UA y cubierta en el artículo correspondiente.  

En esta segunda parte de la entrevista con el Fundador, CEO y Presidente de SOC Prime, Andrii Bezverkhyi, proporcionaremos información sobre cómo Sigma, en combinación con MITRE ATT&CK, moldea el futuro de la defensa cibernética. Para explorar más sobre la estrategia de continuidad del negocio de SOC Prime, consulte la entrevista inicial con el CISO de SOC Prime de la serie de artículos dedicados.

Qué son Sigma y MITRE ATT&CK — «Tabla periódica» de amenazas cibernéticas

Sigma, un lenguaje común para todos los expertos en ciberseguridad en todo el mundo, fue creado en 2016. En ese entonces, Florian Roth y Thomas Patzke realizaron el primer commit en el repositorio de SigmaHQ en GitHub. Entonces, ¿cómo funciona este lenguaje?

Tradicionalmente, los antivirus trabajan con bases de datos de firmas (la lista de indicadores) para todas las amenazas existentes. Las bases de datos de firmas para antivirus propietarios y sus sucesores, las soluciones EDR, suelen ser cerradas, por lo que un usuario común observa el resultado de la implementación. Pero con el conocimiento de Sigma, los usuarios pueden crear tales firmas para cualquier amenaza existente o emergente y añadir esas firmas a una base de datos abierta accesible para cualquiera. 

Sigma permite expresar la firma comportamental para cualquier tecnología de seguridad desde el registro de eventos locales para Microsoft Windows o Sysmon hasta la telemetría de AWS o contenedores Docker, lo que permite a los Ingenieros de Detección identificar el problema exacto y dónde ha ocurrido. Aprovechando Sigma, el Administrador de la empresa podrá identificar phishing a través de la URL de correo electrónico, intentos de explotar una vulnerabilidad de día cero descubierta en la aplicación web de la organización, o posibles ataques de autenticación multifactor (MFA) que afecten al espacio de trabajo corporativo de Slack. 

Los expertos de SOC Prime están entre los pioneros en el uso de reglas Sigma para detección efectiva de amenazas y defensa cibernética proactiva. Además, la empresa fue pionera en etiquetar reglas Sigma con el marco MITRE ATT&CK actuando como una base de conocimiento accesible globalmente de TTPs de adversarios aprovechada por todos los defensores cibernéticos, sin importar su rol en la ciberseguridad o la pila tecnológica en uso. El marco fue creado por MITRE, y al igual que Sigma, es un proyecto de código abierto mantenido y desarrollado por la comunidad global de expertos. 

Las reglas Sigma son ampliamente recomendadas como una forma efectiva de identificar amenazas y detectar proactivamente ciberataques por organizaciones como la Oficina Federal de Investigación (FBI), la Agencia de Seguridad Nacional (NSA), el Centro Australiano de Seguridad Cibernética (ACSC) y el Centro Canadiense para la Seguridad Cibernética (CCCS). La Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) se refiere a ATT&CK como una ‘base de conocimiento accesible globalmente de tácticas y técnicas de adversarios basada en observaciones del mundo real’.

Antes de MITRE ATT&CK, el nivel de madurez en ciberseguridad era el mismo que en física y química antes de la invención de la tabla periódica. Es una base de conocimiento categorizada de todos los ciberataques que emergen globalmente. Así, Sigma actúa como un lenguaje, y el marco ATT&CK como una metodología para combatir amenazas cibernéticas de cualquier escala.

Andrii Bezverkhyi, Fundador, CEO y Presidente de SOC Prime

Entonces, ¿cómo funciona en la práctica? En el caso del infame ataque NotPetya, las reglas Sigma para la detección de amenazas fueron creadas por uno de los inventores de Sigma, Florian Roth, y el experto en ciberseguridad, Tom Ueltschi. Al mismo tiempo, el equipo de SOC Prime estaba aprovechando estas reglas Sigma para ayudar a las víctimas del ataque de NotPetya en el lugar mediante la fusión de Sigma con ATT&CK y las tecnologías de la Cadena de eliminación cibernética de Lockheed Martin (LMCKC). Fue el primer uso mundial de algoritmos Sigma en combinación con ATT&CK para identificar y atribuir la amenaza real.  

Durante el ataque Sandworm a las instalaciones eléctricas de Ucrania en abril de 2022, el equipo de SOC Prime identificó 9 de los 13 métodos utilizados por los actores de la amenaza utilizando las mismas tecnologías. Cabe destacar que las reglas Sigma para este ataque fueron desarrolladas dos años antes, en 2020. 

SOC Prime es uno de los expertos reconocidos en el uso de Sigma y MITRE ATT&CK para detectar amenazas más fácil, rápido y eficientemente que nunca. En mayo de 2022, el CEO de SOC Prime se presentó en el Noveno Taller Comunitario EU MITRE ATT&CK en Bruselas. Durante su presentación, Andrii Bezverkhyi habló sobre el uso de Sigma y ATT&CK para resistir la agresión rusa en la línea del frente cibernético, aplicando el marco como uno de los pilares clave de la defensa cibernética colectiva y su papel esencial en la lucha contra las amenazas cibernéticas globales. Y a partir de ahora, estas tecnologías están sirviendo a la nación ucraniana.

Cómo la combinación de Sigma y MITRE ATT&CK ayuda a Ucrania a luchar contra el enemigo

Desde el estallido de la guerra a gran escala, Andrii Bezverkhyi se dirigió al SSSCIP con una oferta para aplicar Sigma en conjunto con ATT&CK como una tecnología ya probada en el campo de batalla real. 

Tenemos el repositorio más grande del mundo de firmas para detectar ataques de adversarios, y estamos listos para proporcionar estas firmas a organizaciones en Ucrania. Además, ayudamos con la instalación y configuración, educamos a los empleados, y el 99% de esto lo hacemos de forma gratuita. Así fue como comenzamos a trabajar con los equipos de SSSCIP y CERT-UA.

Andrii Bezverkhyi, Fundador, CEO y Presidente de SOC Prime

SOC Prime proporciona al Centro Estatal de Protección Cibernética y a los equipos de CERT-UA acceso gratuito a sus tecnologías de defensa cibernética y capacitación profesional bajo demanda. Si los representantes de la infraestructura crítica de Ucrania (compañías eléctricas, compañías de transporte, proveedores de servicios postales o de comunicación, etc.) se dirigen a SOC Prime por recomendación del SSSCIP, el equipo les proporciona tecnologías básicas para defenderse contra el enemigo. 

SSSCIP no encaja con la imagen típica de una institución gubernamental burocrática. El flujo de trabajo y las comunicaciones son puramente democráticas: el Servicio aconseja, no presiona, y su equipo lidera, no obliga. Y esa probablemente sea nuestra gran diferencia con los rusos. Aparte de usar tecnología innovadora, actuamos como consultores. Eso es importante ya que, lamentablemente, hay una gran falta de profesionales en ciberseguridad en las administraciones locales o clínicas.

Andrii Bezverkhyi, Fundador, CEO y Presidente de SOC Prime

Además, SSSCIP actúa como regulador en el área de protección de datos y comunicaciones definido por la ley. Además, el Servicio ayuda a las empresas ucranianas considerando que todos los activos en todo el país deben estar bajo protección. Es un requisito previo importante para la resiliencia cibernética del estado.

Las tecnologías de vanguardia aplicadas por el enemigo en el ciberespacio son solo ficción. El agresor está usando lo que el mundo ha estado aprovechando durante años. Si todas las organizaciones públicas y privadas utilizaran Sigma y ATT&CK, bloquearan automáticamente los métodos de movimiento lateral más comunes y compartieran detalles sobre la infraestructura del adversario, cualquier ciberataque se detectaría fácilmente en segundos. Sin embargo, es solo una visión del futuro ideal posible en tres o cinco años.  

Para cumplir con esta visión del futuro, la comunidad de ciberseguridad debería capacitar y apoyar a la próxima generación de practicantes cibernéticos capacitados en nuevas tecnologías. Entre las formas de alcanzar este ambicioso objetivo está el Programa de Recompensas por Amenazas de SOC Prime. 

El paso inicial para combatir una amenaza cibernética es su identificación. Sin ella, cualquier operación de defensa cibernética no puede ser eficiente. Durante más de 30 años, la industria ha estado ofreciendo recompensas monetarias (bounty) a especialistas que informan las vulnerabilidades de seguridad descubiertas en redes, sitios web y servicios. Ahora es el momento de que los programas recompensen a aquellos que puedan identificar y describir la lógica del ataque. Es simplemente el otro lado de la moneda. Para defenderse eficazmente contra las amenazas cibernéticas, el número de personas describiendo la defensa no debe ser menor que aquellos que describen la ofensa. 

La comunidad de Recompensas por Amenazas ahora conecta a más de 620 miembros, y este número está creciendo constantemente. Desde el lanzamiento del programa, el monto total de las recompensas pagadas ha alcanzado ya los $377,000. En ciertos casos, las recompensas mensuales para un miembro han ascendido a $2,700 — , lo cual puede compararse con un salario de trabajo a tiempo completo. Antes de que SOC Prime recaudara financiamiento de Serie A, la recompensa se pagaba con los ingresos de la empresa, pero pronto el inversor apoyó la iniciativa. Además, SOC Prime discute con Google y Microsoft las oportunidades para que se unan como patrocinadores.

Para fortalecer la defensa cibernética colectiva, la industria requiere más expertos capacitados en tecnologías innovadoras de ciberseguridad y capaces de identificar y clasificar cualquier amenaza en segundos. Y la demanda de tales expertos en Ucrania es alta ya que el país está en la línea del frente de la guerra defendiendo en todos los dominios —desde tierra hasta el ciberespacio. 

Incluso si Mordor se autodestruyera mañana, la guerra cibernética continuaría. Por lo tanto, Ucrania debe ser capaz de defenderse. Y esa es la razón por la cual necesitamos capacitar a las personas que estarán involucradas en la defensa cibernética para asegurar un futuro más seguro.

Andrii Bezverkhyi, Fundador, CEO y Presidente de SOC Prime