Tácticas, técnicas y procedimientos (TTP) en ciberseguridad
Hablaremos sobre las tácticas y técnicas entorno a la ciberseguridad, explicaremos qué son las Famosas TTP (Tácticas, técnicas y procedimientos), cuáles son sus usos, para qué sirven y cómo lo hacen.
¿Qué son los TTP y cuál es su principal función?
Los TTP son herramientas que imitan el comportamiento de un hacker y detallan las características de sus métodos. Permiten conocer cómo un hacker puede desarrollar un ataque desde el principio hasta lograr su objetivo, describiendo paso a paso cómo lo ha hecho. Estos datos permiten construir defensas avanzadas y más inaccesibles.
¿Qué son las tácticas?
Las tácticas representan el objetivo del hacker y cómo planea efectuar su ataque. Cada táctica se lleva a cabo mediante técnicas específicas.
Ejemplos de tácticas:
- Acceso al ordenador y búsqueda de servidores para obtener información.
- Ejecución de malware para acceder a la cuenta de la víctima.
- Obtener permisos y privilegios completos.
- Evitar ser detectado.
- Robar datos confidenciales.
- Extraer datos a servidores remotos.
- Tomar control completo de los sistemas.
- Destruir el sistema.
¿Qué son las técnicas?
Las técnicas son los métodos que el hacker utiliza para realizar las tácticas. Por ejemplo, la técnica de «fuerza bruta» se basa en un intento de prueba y error hasta adivinar la contraseña correcta.
Técnicas más comunes utilizadas por hackers
- Phishing: Engaño mediante correos o redes sociales para robar información personal.
- Denegación de servicio (DDOS): Sobrecargar un servidor con bots para dejarlo inoperativo.
- Keylogger: Software que captura las pulsaciones del teclado para robar contraseñas.
- Virus y troyanos: Programas que dañan el sistema y roban información valiosa.
- Bait and switch: Anuncios maliciosos que redirigen a páginas infectadas con malware.
- Robo de cookies: Software que roba información al navegar en internet.
Entorno a un 63% de los datos recogidos sobre la violación de datos son debidos al uso de contraseñas débiles o predefinidas.
¿Cómo detectar un TTP y defenderse?
Para detectar amenazas, primero se debe identificar cualquier comportamiento anómalo. Los equipos de defensa asocian estos comportamientos con posibles ataques y generan hipótesis basadas en la inteligencia de amenazas. Los «ciber threat hunters» analizan estas hipótesis mediante técnicas de análisis de datos y machine learning.
Las principales técnicas de análisis incluyen:
- Analizar los registros
- Analizar la red
- Analizar el host
¿Cómo funciona un SOC (Centro de Operaciones de Seguridad)?
Un SOC monitoriza todas las infraestructuras y sistemas para detectar amenazas, responder a ellas y recuperar la información si es necesario. Clasifica las amenazas en diferentes categorías.
¿Cómo defenderse de un ataque?
Un SOC se encarga de defender y minimizar el impacto de un ataque mediante el análisis de patrones de comportamiento de ataques previos.
Funciones clave de un SOC
- Detección y respuesta automática.
- Es proactivo.
- Monitorea todas las infraestructuras.
- Caza las amenazas más complejas.
- Tiene sus propios remedios.
- Cierra cualquier brecha en la seguridad.
