Haciendo que MITRE ATT&CK sea viable

El equipo de Swimlane Deep Dive se complace en anunciar el lanzamiento de pyattck 2.0 y una versión equivalente de PowerShell llamada PSAttck. Estas herramientas de código abierto proporcionan a los centros de operaciones de seguridad (SOC), a los defensores y a los equipos de seguridad ofensiva puntos de datos externos que enriquecen MITRE ATT&CK al proporcionar posibles comandos, consultas e incluso detecciones para técnicas específicas. Además, estos puntos de datos permiten obtener contexto sobre actores o grupos atacantes específicos, así como detalles sobre las diferentes herramientas utilizadas por actores maliciosos.

Al tener acceso a las técnicas, actores y herramientas de MITRE ATT&CK, los profesionales de seguridad pueden buscar en los registros posibles comandos relacionados con una técnica específica, lo que les permite crear y recuperar detecciones y consultas con la información. Estos proyectos de código abierto utilizan varios otros proyectos de código abierto para proporcionar un contexto práctico en lugar de depender del conocimiento y la experiencia específicos del dominio con una técnica, actor o herramienta específica incluida en MITRE ATT&CK.

NOTA: No todas las técnicas tendrán propiedades de datos externos, pero ampliaremos continuamente este conjunto de datos para tener cobertura para todas las técnicas en el futuro.

piattck y PSAttck Ofrecer acceso a los siguientes puntos de datos externos:

• Objetivos, operaciones y datos adicionales relacionados con los actores.
• Comandos potenciales, consultas y detecciones de proyectos de código abierto para técnicas individuales.
• Datos de http://www.thec2matrix.com y conjuntos de datos adicionales, que proporcionan contexto a herramientas específicas utilizadas por los atacantes.

Más información sobre estas características está disponible en nuestra Sitio del ataque, que contiene documentación para pyattck, PSAttck y datos externos generados.

¡Tanto pyattck como PSAttck están disponibles en sus respectivas plataformas de gestión de paquetes y se pueden instalar desde hoy!

Instalación y uso de Pyattck

pyattck está disponible en pypi.org y se puede instalar mediante pip. instalar pyattck Puedes ejecutar el siguiente comando:

pip instalar pyattck>=2.0.2

Con el lanzamiento de Pyattck 2.0, hemos reestructurado el proyecto para segmentar los diferentes frameworks ATT&CK. Esto significa que ahora puede acceder a los frameworks PRE-ATT&CK, Mobile y Enterprise desde Pyattck. Si desea acceder únicamente a los datos del framework ATT&CK Enterprise, especifique la propiedad Enterprise:

from pyattck import Attck attck = Attck() for technique in attck.enterprise.techniques: print(technique.name) print(technique.id) # si la técnica tiene una command_list puedes acceder a ella aquí if hasattr(technique, 'command_list'): print(technique.command_list)

Puede acceder a los otros marcos MITRE ATT&CK mediante:

• PRE-ATT&CK – attck.preattack
• ATT&CK Móvil – attck.mobile

Además, hemos añadido un sencillo línea de comandos Utilidad para acceder a estos datos directamente. Una vez instalado Pyattck, puede acceder a la utilidad simplemente invocándola desde su shell preferido.

Pyattck Enterprise --ayuda

Para obtener más detalles sobre pyattck, su instalación, opciones de configuración, uso y documentación general, visite este enlace.

¡Tanto pyattck como PSAttck están disponibles en sus respectivas plataformas de administración de paquetes y se pueden instalar desde hoy!

Instalación y uso de PSAttck

PSAttck está disponible en https://www.powershellgallery.com/ e instalable mediante Install-Module. PSAttck es compatible con Windows PowerShell v5 y PowerShell Core. Para instalar PSAttck Puedes ejecutar el siguiente comando:

Módulo de instalación -Nombre PSAttck

PSAttck tiene las mismas funciones que pyattck, pero en PowerShell. PSAttck utiliza clases de PowerShell y permite acceder tanto a los datos de MITRE ATT&CK como a los conjuntos de datos externos mediante las funciones proporcionadas. Una vez instalado y cargado, tendrá acceso a estas funciones públicas:

• Obtener-Ataque
• Obtener-Actor de Ataque
• Obtener malware de ataque
• Mitigación de ataques
• Táctica de ataque
• Técnica de ataque
• Obtener herramienta de ataque

Cada una de estas funciones tiene parámetros opcionales que permiten filtrar los resultados. Estos filtros también permiten autocompletar los valores de los argumentos:

PSAttck es una versión comparable de Pyattck en cuanto a características, pero escrita en PowerShell. Para más detalles sobre... PSAttck e instalación, opciones de configuración, uso, y documentación general, visite el repositorio y nuestro sitio Attck para obtener documentación adicional:

• https://github.com/swimlane/PSAttck
• https://swimlane.github.io/attck/

¿Buscas más información sobre Pyattck, PSAttck y otras herramientas de código abierto? Visita el nuevo... Centro de análisis de carriles de nado. Y asegúrese de unirse al próximo seminario web de Swimane, “Automatización de pruebas de ataque con SOAR y Atomic Red Team,”, para un análisis profundo del uso de SOAR para optimizar sus capacidades de pruebas de control de seguridad.

Automatización de pruebas de ataque con SOAR y Atomic Red Team

Es el marco de facto que las organizaciones utilizan para rastrear los controles de seguridad defensivos, pero identificar las capacidades de detección, o la falta de ellas, puede ser difícil para organizaciones de todo el mundo. Afortunadamente, algunas empresas han lanzado proyectos de código abierto, como Atomic Red Team de Red Canary, para ayudar a los equipos de seguridad a probar dichos controles. Vea este seminario web a la carta para aprender cómo aprovechar SOAR para automatizar estos proyectos y maximizar sus capacidades de prueba de controles de seguridad.

Mira ahora