Lee la primera parte mi serie sobre ATT&CK
Lee la segunda parte mi serie sobre ATT&CK
Lee la tercera parte mi serie sobre ATT&CK
Ransomware Esta vez, en lugar de trabajar basándonos en un supuesto sector de actividad de nuestra empresa, como hice en mi última entrada, voy a hacerlo basado en la amenaza más de moda y más común hoy en día.
Ransomware sigue siendo la principal amenaza para la mayoría de compañías de todo tamaño y en todos los sectores, como se puede ver leyendo los varios informes publicados periódicamente por las empresas de ciberinteligencia estos últimos años.
[Leer más]
Mejora de detecciones y análisis de riesgos con ATT&CK Parte 3
Puedes leer la primera parte de esta serie aquí
Puedes leer la segunda parte de esta serie aquí
Priorizando nuevas detecciones Hoy continuamos con nuestro viaje para mejorar las detecciones en nuestra red. El siguiente paso es incorporar datos de amenazas reales.
La última vez, creamos una capa de ATT&CK navigator donde identificamos todos los TTPs sobre los que tenemos visibilidad pero no detecciones creadas. Puedes ver los resultados con esta capa de JSON.
[Leer más]
Usando la calculadora para Top-Techniques de CTID y ATT&CK
Top ATT&CK Techniques Hoy vamos a ver como usar la nueva herramienta publicada por el Center for Threat-Informed Defense, la calculadora de Top ATT&CK Techniques, que podemos encontrar aquí. El principal propósito de este nuevo proyecto y de la calculadora es ayudar a determinar donde debemos invertir nuestros esfuerzos para defender nuestra red. Si has seguido mi serie sobre la Mejora de detecciones y análisis de riesgos con ATT&CK, estás en una posición perfecta para aprovechar esta herramienta.
[Leer más]
¿Sabes si tu escáner puede detectar todas las vulnerabilidades de tu Red?
¿Detecta tu herramienta de gestión de vulnerabilidades todas las de tu red? La inspiración de este post viene después de leer esta entrada de Alexander Leonov. Alexander investiga los puntos ciegos en las bases de datos de los escáneres de vulnerabilidades, y cómo podemos asumir erróneamente que todas las vulnerabilidades publicadas pueden ser identificadas con nuestra lustrosa herramienta, por la que pagamos una generosa licencia. Como él mismo explica, esto no es cierto, y usa como referencia el catálogo de CISA de Vulnerabilidades Conocidas que están siendo explotadas.
[Leer más]
Mejora de detecciones y Análisis de Riesgos con ATT&CK Parte 2
Puedes leer la primera parte de esta serie aquí
Visibilidad En la primera parte, dejamos nuestras fuentes de datos mapeadas con ATT&CK y ya teníamos una buena idea de que ataques podrían estar ocurriendo sin que tuviéramos datos sobre los mismos.
Ahora vamos a ir un paso más y vamos a puntuar nuestra visibilidad basándonos en nuestras fuentes de datos y el conocimiento detallado de nuestros sistemas.
Volvemos a iniciar el container de DeTTECT:
[Leer más]
Descubre vulnerabilidades conocidas explotadas en tu red con la API de Tenable
Hoy vamos a ver un ejemplo práctico de uso de el endpoint Analysis de la API de Tenable.sc. Usaremos la lista de vulnerabilidades conocidas explotadas(known exploited vulnerabilities) distribuida por CISA y la compararemos con los resultados de nuestros escaneos. Esto nos dará una lista de CVEs activos sin parchear en nuestra red y que debería ser priorizada, ya que están siendo usados en ataques.
Known Exploited Vulnerabilities(KEV) CISA publica un archivo CSV con todas las vulnerabilidades en su catálogo, y podemos descargarlo aquí
[Leer más]
Automatiza la actualización Offline de plugins en Tenable.sc
Si tienes una infraestructura de Gestión de Vulnerabilidades con Tenable.sc y no puedes conectar los servidores directamente a internet - por ejemplo en una red clasificada - tienes que actualizar los plugins para las vulnerabilidades de manera regular igualmente. Cuando puedes conectar tu servidor Tenable.sc a internet, todo va como la seda, pero en caso contrario, en una red desconectada o ‘air gapped’, si no quieres tener que estar subiendo los plugin cada día o semana a través de la interfaz gráfica de Tenable.
[Leer más]
Jugando con la API de Tenable.sc y Powershell
Aquí empiezo una nueva serie de entradas donde voy a mostrar como trabajar con la API de Tenable.sc usando PowerShell como lenguaje de scripting. Hay una librería muy buena de Python, pyTenable, que si puede usar Python en tu entorno te la recomiendo; pero si por alguna razón no puedes usar Python - ni confirmo ni desmiento que conozca a alguien que le pase eso 😉 - o simplemente quieres aprender una alternativa disponible nativamente en Windows, ¡este es tu blog!
[Leer más]
Mejora de detecciones y análisis de riesgos con ATT&CK
Yo también quiero usar el framework de ATT&CK Si quieres mejorar las detecciones en tu SOC contra atacantes de tu organización, y además saber que posibles ataques priorizar, la última moda del momento es el framework ATT&CK y Threat informed defense.
Pero, si no tienes los recursos para contratar consultores externos para hacer el trabajo por ti, puede ser bastante abrumador para organizaciones pequeñas el subirse al tren de ATT&CK.
[Leer más]
Guia y respuestas del CTF de Splunk y Corelight Parte 2
Esta es la segunda parte de mi guía para el CTF de Corelight y Splunk. La primera parte está aquí. Puedes encontrar el CTF en el sitio de BOTS de Splunk.
SPOILER ALERT: HE INCLUIDO TODAS LAS RESPUESTAS AL RETO, PERO ESTÁN ESCONDIDAS Y TIENES QUE HACER CLICK EN CADA UNA PARA VERLAS.
Vamos a por el segundo escenario.
Escenario 2 Importante: usa el índice “ctf” para este escenario
[Leer más]