En esta clase del bootcamp Analista SOC organizado por Comunidad DOJO, exploramos el concepto de emulación de adversarios, una metodología avanzada para probar y fortalecer las defensas de una organización de manera proactiva.
¿Qué es la Emulación de Adversarios? 🛡️
Es una metodología que simula las operaciones y comportamientos de un atacante real para poner a prueba la seguridad de una organización. Los principales objetivos de esta práctica son:
Medir la eficacia de las herramientas de seguridad implementadas.
Evaluar y ajustar las reglas de correlación.
Definir correctamente los umbrales de detección.
Lograr una disminución significativa de los falsos positivos.
MITRE ATT&CK®: El Mapa del Atacante 🗺️
Para entender y simular a los adversarios, utilizamos el framework MITRE ATT&CK®. Esta es una base de conocimiento global que funciona como una "WIKI" sobre ataques y sus métodos. Nos ayuda a desglosar las acciones de un atacante en:
Tácticas: El objetivo o la razón técnica detrás de una acción (ej. Acceso Inicial).
Técnicas: El método específico para lograr una táctica (ej. Phishing).
Procedimientos: La implementación particular de una técnica.
Diferencias Clave: No Todo es lo Mismo 🔍
Es crucial diferenciar la emulación de adversarios de otros ejercicios de seguridad:
|
Tipo de Prueba |
Objetivo y Comportamiento |
|
Emulación de Adversarios |
Se basa en el comportamiento de adversarios reales,
siguiendo sus Tácticas, Técnicas y Procedimientos (TTPs). |
|
Pentest |
Se enfoca en evaluar vulnerabilidades y depende más de la
habilidad del pentester que de seguir los TTPs de un adversario específico. |
|
Evaluación de Vulnerabilidad |
Su único objetivo es identificar y clasificar
vulnerabilidades según su severidad. |
Herramienta Práctica: MITRE Caldera™ ⚙️
En la parte práctica, nos enfocamos en
MITRE Caldera, una plataforma de código abierto diseñada específicamente para la emulación de adversarios.
Instalación y Configuración:
Se mostró cómo instalar Caldera en un entorno virtualizado como VMWare con Ubuntu , aunque también se mencionó Docker como una alternativa recomendada. Una vez instalado, se accede a la plataforma a través de un navegador web en el localhost:8888.
Componentes Principales de Caldera:
La plataforma se organiza en tres elementos centrales:
Agentes: El software que se despliega en la máquina "víctima" para ejecutar las instrucciones. En la demo, se infectó una máquina Windows.
Habilidades (Abilities): Son la implementación específica de una técnica de ATT&CK. Incluyen el comando a ejecutar, las plataformas compatibles (ej. PowerShell) y los payloads a utilizar.
Adversarios: Perfiles que agrupan un conjunto de habilidades para simular a un atacante específico.
Con Caldera, podemos automatizar ataques controlados para observar cómo responden nuestras defensas, verificar si se generan las alertas correctas y mejorar nuestra postura de seguridad de forma continua.
