Open in app

Sign in

Write

Sign in

Canary Tokens vs. TTPs

Marvin G. Soto
4 min readSep 14, 2024

--

En el ámbito de la ciberseguridad, la infraestructura de canary tokens se ha convertido en una herramienta esencial para detectar y responder a amenazas.

Este enfoque, que utiliza “canarios” en la red para alertar sobre actividades maliciosas, se enfrenta a la complejidad de los TTPs del mundo real, que son las tácticas, técnicas y procedimientos utilizados por los atacantes.

Este artículo exploramos las diferencias clave entre ambos conceptos y su relevancia en la protección de las organizaciones.

¡Primero, lo primero! Definamos las los términos:

Una infraestructura de canary tokens se refiere a un conjunto de recursos y estrategias diseñadas para detectar intrusiones y comportamientos anómalos en sistemas informáticos. Al igual que se empleaban canarios en las minas, que alertaba a los mineros sobre la presencia de gases tóxicos, los canarios digitales permiten a las organizaciones identificar amenazas antes de que causen daños significativos. Estos pueden incluir sistemas de alerta temprana, honeypots y otras técnicas que simulan activos valiosos para atraer a los atacantes.

Funcionan desplegando múltiples Canary Tokens en diferentes ubicaciones estratégicas para alertar sobre accesos no autorizados.

Sus componentes claves son:

  • Canary Tokens: Son señuelos que se colocan en archivos, bases de datos, páginas web, etc. Están diseñados para parecer legítimos, pero activar alertas (trinar) cuando son accedidos.
  • Sistema de Monitoreo: Supervisa continuamente la interacción con los Canary Tokens y genera alertas cuando se detecta una actividad sospechosa.
  • Respuesta Automatizada: Puede estar configurado para ejecutar acciones predefinidas cuando se activa un token, como enviar notificaciones a los administradores.

En contraposición, las TTPs son fundamentales para entender cómo operan los atacantes en el mundo real. Estas tácticas abarcan desde la fase de reconocimiento inicial hasta la ejecución de ataques y la exfiltración de datos.

La definición de cada componente:

  • Tácticas: Se refieren a los objetivos generales que los atacantes buscan lograr durante un ataque. Por ejemplo, pueden incluir el acceso inicial a un sistema, la escalada de privilegios o la exfiltración de datos.
  • Técnicas: Son los métodos específicos que los atacantes utilizan para alcanzar sus tácticas. Por ejemplo, el uso de phishing para obtener credenciales o la explotación de vulnerabilidades en software.
  • Procedimientos: Detallan cómo se implementan las técnicas en situaciones reales. Esto incluye los pasos específicos que un grupo de atacantes sigue para llevar a cabo un ataque exitoso.

Algunos ejemplos incluyen:

  • Técnicas de reconocimiento como escaneo de puertos y enumeración de sistemas
  • Explotación de vulnerabilidades conocidas para ganar acceso inicial
  • Movimiento lateral dentro de la red para alcanzar objetivos prioritarios
  • Técnicas de evasión para evitar la detección por parte de defensas
  • Exfiltración de datos confidenciales o sabotaje de sistemas

Ósea, un atacante puede utilizar técnicas de phishing para obtener credenciales, seguido de un movimiento lateral dentro de la red para alcanzar objetivos críticos. Conocer estos TTPs permite a las organizaciones anticiparse a los movimientos de los atacantes y fortalecer sus defensas.

El propósito de una infraestructura de canary tokens es detectar y alertar sobre intrusiones, mientras que los TTPs describen cómo los atacantes llevan a cabo sus operaciones. La infraestructura de canary tokens se enfoca en una estrategia proactiva que busca prevenir ataques, mientras que el análisis de TTPs es reactivo, permitiendo a las organizaciones adaptarse a las tácticas de los atacantes.

La implementación de una infraestructura de canary tokens puede requerir recursos adicionales, pero puede ser relativamente sencilla. En contraste, el análisis de TTPs requiere un conocimiento profundo y continuo de las amenazas emergentes y las técnicas de ataque.

La combinación de una infraestructura de canary tokens robusta y un entendimiento profundo de los TTPs del mundo real es esencial para una estrategia de ciberseguridad efectiva.

Las organizaciones debemos adoptar un enfoque holístico que no solo implemente herramientas de detección, sino que también eduque a su personal sobre las amenazas actuales y emergentes, a fin de mejorar la capacidad de respuesta ante incidentes y fortalecer la postura general de seguridad.

Al final, la ciberseguridad no es solo una cuestión de tecnología, sino también de preparación y conocimiento. Al equipar a los equipos con las herramientas adecuadas y la información necesaria, las organizaciones podemos navegar mejor en el complejo paisaje de amenazas que enfrentan hoy en día.

Canary Tokens
Ttp
Ciberseguridad
Medium En Español
Cybersecurity

--

--

Marvin G. Soto
Marvin G. Soto

Written by Marvin G. Soto

303 Followers
12 Following

Pensador, innovador, luchador, enamorado de su profesión, apasionado por las letras… de dificil renunciar y lejano a rendirse…

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams