Detección de TTPs en logs de sistema y red

Abstract

En el panorama actual de la ciberseguridad, las Amenazas Persistentes Avanzadas, comúnmente llamadas APT, representan una preocupación y desafío constante para las organizaciones y su infraestructura crítica. Estas entidades, con un alto conocimiento técnico, emplean una serie de Técnicas, Tácticas y Procedimientos (TTPs) para comprometer sistemas y redes con el fin de obtener acceso no autorizado y realizar actividades maliciosas de forma sigilosa y discreta. Para poder defender la infraestructura crítica de estas actividades, se utilizan los sistemas de detección de intrusión (IDS). Estos sistemas son entrenados con conjuntos de datos conteniendo ataques para que sean capaces de detectar automáticamente estos ataques en un futuro. Este trabajo se centra en la detección temprana de TTPs mediante el uso del framework MITRE Caldera™ para emular adversarios sobre un escenario semi-realista experimental y controlado, recopilando los registros con el comportamiento característico de las APTs definidas en el framework MITRE ATT&CK® así como comportamiento benigno propio de los usuarios habituales del sistema. Estos registros se procesan para formar un dataset que se utiliza para entrenar un modelo de detección basado en machine learning o generar reglas de detección, con el objetivo de clasificar automáticamente los registros en base a posibles patrones o actividades maliciosas, o en su defecto, comportamiento benigno.

In the current cybersecurity context, Advanced Persistent Threats (APT) represent a constante concern and challenge for organisations and their critical infrastructures. With highly technical knowledge, these entities use a variety of Techniques, Tactics and Procedures (TTP) to compromise systems and networks to obtain non-authorised access and performs malicious activities stealthily and discreetly. Intrusion Detection Systems (IDS) strongly contribute to defending critical infrastructure. These systems are trained with datasets containing attacks, to improve future automatic detection. The present work focuses on early TTP detection using the MITRE Caldera™ framework to emulate adversaries within an experimental and controlled scenario. It will collect logs with characteristic behaviour of APTs defined in the MITRE ATT&CK® framework as well as benign behaviour typical of regular system users. These logs are processed to create a dataset used to train a machine learning detection model or develop new detection rules. The aim is to prove that MITRE Caldera™ can be used to improve the detection of IDS solutions by classifying logs automatically based on possible patterns, malicious activities, or benign behaviours.