Soluciones Criptográficas - MITRE ATT&CK

Lista completa y práctica de activos a proteger y los controles de seguridad recomendados, alineada con las tácticas y técnicas del framework MITRE ATT&CK.

🔐 Lista de Activos Críticos y Protección desde la Perspectiva MITRE ATT&CK

Categoría de Activo Ejemplos Controles de Seguridad Recomendados (MITRE ATT&CK)

🖥️ Dispositivos Endpoint Portátiles, PCs, móviles, tablets - Antimalware/EDR (T1059: Command and Scripting Interpreter)
- Control de dispositivos (T1200: Hardware Additions)
- Autenticación fuerte (T1078: Valid Accounts)
- Restricción de PowerShell, macros, scripts

🗄️ Almacenamiento HDDs, SSDs, NAS, SEDs - Cifrado de disco (T1486: Data Encrypted for Impact)
- FDE/BitLocker/FileVault
- Control de acceso basado en roles (RBAC)
- Monitoreo de integridad (FIM)

📡 Red y Comunicaciones Routers, switches, firewalls, VPN, WAPs - Segmentación de red (T1562.004: Disable or Modify System Firewall)
- IDS/IPS
- Control de tráfico lateral (T1021: Remote Services)
- TLS para cifrado en tránsito

🧠 Memoria y Procesos RAM, swap, procesos del sistema - Secure Enclaves (TEE)
- Protección contra ejecución de código (T1055: Process Injection)
- Control de acceso a memoria (DEP, ASLR)

☁️ Infraestructura Cloud AWS, Azure, GCP, SaaS, contenedores - IAM granular (T1078: Valid Accounts)
- Seguridad de workloads (CSPM)
- Registros y monitoreo (T1086: PowerShell, T1106: Native API)
- MFA

🔑 Identidad y Accesos Cuentas de usuario, grupos, roles, SSO - MFA obligatorio
- Auditoría de credenciales (T1555: Credentials from Password Stores)
- Detección de abuso de privilegios (T1069: Permission Groups Discovery)

📂 Bases de Datos MySQL, MSSQL, Oracle, PostgreSQL - Cifrado de datos sensibles (T1005: Data from Local System)
- Monitoreo de accesos anómalos (UEBA)
- Segmentación de acceso

🔧 Sistemas y Aplicaciones Sistemas operativos, software corporativo, ERP - Control de integridad (T1222: File and Directory Permissions Modification)
- Aplicación de parches (T1609: Container Administration Command)
- Whitelisting de binarios (T1036: Masquerading)

🧬 Datos Sensibles PII, PHI, IP, secretos empresariales - Clasificación y etiquetado
- DLP (T1005: Data from Local System)
- Hashing y cifrado de datos en tránsito y reposo
- Técnicas de ofuscación y tokenización

🧭 Servicios de Directorio Active Directory, LDAP, Azure AD - Hardening de AD (T1482: Domain Trust Discovery)
- Auditoría de privilegios
- Bloqueo de ejecución remota no autorizada
- Detección de pass-the-hash (T1550.002)

🎛️ Hardware Crítico BIOS/UEFI, TPM, HSM - Secure Boot (T1542.001: System Firmware)
- TPM para claves
- Control de integridad en arranque (mediante hash e identificación)

📜 Logs y Registros SIEM, Syslog, Journald, Event Viewer - Centralización de logs
- Retención segura y cifrada
- Revisión proactiva de eventos
- Alerta ante limpieza de logs (T1070.001: Clear Windows Event Logs)

⚙️ CI/CD & DevOps Jenkins, GitHub, pipelines, dockerfiles - Escaneo de código (T1609)
- Control de secretos y tokens (T1552.001)
- Firma de artefactos
- Auditoría de pipelines

🛠️ Buenas Prácticas para Integrar MITRE ATT&CK

  • Mapea amenazas conocidas con herramientas como MITRE ATT&CK Navigator.

  • Simula ataques con Purple Teaming usando ATT&CK para validar defensas (por ejemplo, con CALDERA o Atomic Red Team).

  • Desarrolla detecciones específicas por técnica MITRE para tu SIEM.

  • Evalúa tu superficie de ataque basándote en las tácticas de inicial access, persistence y privilege escalation.

Mystara - Mind Hacker - Purple TeamBlog
Todos los derechos reservados 2024
Creado con Webnode Cookies
¡Crea tu página web gratis! Esta página web fue creada con Webnode. Crea tu propia web gratis hoy mismo! Comenzar
Utilizamos cookies para permitir un correcto funcionamiento y seguro en nuestra página web, y para ofrecer la mejor experiencia posible al usuario.

Configuración avanzada

Puedes personalizar tus preferencias de cookies aquí. Habilita o deshabilita las siguientes categorías y guarda tu selección.