Threat Hunting: Probability based model for TTP covering (Parte II)

En el artículo anterior se ha establecido el objetivo de una Unidad de Inteligencia de Threat Hunting, así como realizado un estudio sobre la medición de su valor en función de su cobertura y eficiencia. En el presente se pretende utilizar dichos cálculos para establecer una cobertura a nivel de táctica y poder dibujar el modelo probabilístico de una organización respecto a un grupo APT. Puede leerse la investigación completa aquí.

Cobertura a nivel de Táctica

Si para la medición de la cobertura a nivel de Táctica se llevará a cabo el mismo ejercicio, el resultado sería una priorización de Técnicas en función del número de grupos que han utilizado cada una.  Este tipo de aproximación ofrece una perspectiva general sobre cualquier tipo de amenaza.

En este caso, la cobertura a nivel de Táctica CT se realizará dividiendo el número de procedimientos cubiertos por la Unidad de Inteligencia Pn por el número de procedimientos totales a nivel de táctica PTn. Esto proporciona un peso relativo a cada Técnica en función de su utilización CT.

Sin embargo, existe otra aproximación más alineada con el estándar TaHiTI, donde se prioriza la revisión en función del Modelado de Amenazas que pudiera haber proporcionado el equipo de Threat Intelligence. Es decir, priorizando aquello que es más probable de encontrar en la organización.

En este caso, la cobertura de la Unidad de Inteligencia a nivel de Táctica CT será el producto de la cobertura de la UdI a nivel de técnica Ct por el porcentaje de peso Wt de la técnica dentro de la táctica.

La caracterización de una técnica utilizando estos valores permite ofrecer una probabilidad de detección de una cierta amenaza con las Unidades de Inteligencia disponibles.

Modelo de cobertura de Threat Hunting

En este estudio se va a entender la probabilidad de detección de las tácticas de postexplotación de un grupo APT como eventos estadísticamente independientes. Es decir, dado que la detección de las diferentes técnicas no está vinculada entre sí, la necesidad no es detectar todas y cada una de las técnicas de la matriz de MITRE ATT&CK, sino la necesidad de detectar al menos una de las técnicas para desmantelar la campaña. Esto conduce a la posibilidad de utilización de la regla de multiplicación estadística dentro de un modelo de probabilidad.

De este modo, la probabilidad de no detección de un grupo APT será igual al producto de las probabilidades de no detección de cada una de las tácticas. Por ende, la probabilidad de detección de un grupo APT será 1 menos la probabilidad de no detección de un grupo APT.

Como se ha comentado en el apartado anterior, la cobertura de la Táctica es igual a la suma de las probabilidades de detección en cada una de las Técnicas.

Aplicando este modelo de caracterización de las Unidades de Inteligencia, será posible establecer un mapa de cobertura que, dado el tiempo de analista para las tareas de Threat Hunting, se reduzca la probabilidad de que un atacante pase desapercibido.

En el siguiente artículo se presentará la aplicación práctica de este modelo para el modelado de un grupo APT dentro de una organización.

Speak Your Mind

*