¿Qué es «DECIDER»?
Decider es una herramienta gratuita para ayudar a la comunidad de ciberseguridad a mapear el comportamiento de los actores de amenazas con el marco ATT&CK de MITRE. Creada en colaboración con el Homeland Security Systems Engineering and Development Institute™ (HSSEDI) y MITRE.
Decider ayuda a que el mapeo sea rápido y preciso a través de preguntas guiadas, una potente función de búsqueda, filtrado que permite a los usuarios exportar los resultados a formatos de uso común.
CISA ha constatado que, si bien el ATT&CK es una herramienta valiosa para la ciberseguridad empresarial, hay muchas complejidades en la creación de mapeos ATT&CK que son importantes para hacerlo bien y puede llegar a ser fácil equivocarse.
Decider facilita la creación de asignaciones ATT&CK guiando a los usuarios a través del proceso de preguntas y asignación, para ello, esto lo hace planteando una serie de preguntas guiadas sobre la actividad del adversario para ayudar a los usuarios a llegar a la táctica, técnica o subtáctica correcta.
Características
Decider cuenta con una potente función de búsqueda y filtrado que permite a los usuarios
centrarse en las partes de ATT&CK que son relevantes para su análisis. Decider también dispone de una función de carrito que permite a los usuarios exportar los resultados a los formatos más utilizados como tablas y mapas de ATT&CK Navigator™.
Al facilitar el mapeo de ATT&CK, Decider ayuda a los usuarios a comprender con mayor rapidez y precisión las actividades de los adversarios para así después obtener mapeos precisos, los usuarios pueden realizar las siguientes acciones:
- Visualizar los resultados en ATT&CK Navigator
- Compartir los resultados con otros mediante la publicación de informes de inteligencia sobre amenazas
- Encontrar sensores y análisis para detectar esas técnicas
- Descubrir mitigaciones que ayuden a evitar que las técnicas funcionen en primer lugar.
- Compilación de planes de emulación de amenazas para validar las defensas
Instalación en linux:
Toda la instalación la podemos realizar siguiendo o bien el manual de instalación oficial alojado en el repositorio de github o bien mediante docker con docker-compose.
Repositorio de github: https://github.com/cisagov/Decider/
Simplemente realizando los siguientes pasos lo tendremos (NOTA: Debemos tener instalado docker previamente)
1.- Instalaremos tanto el apartado de docker-compose como python
sudo apt-get -y install python-pip
sudo pip install docker-compose
2.- Copiaremos el repositorio de github en nuestro linux , nos posicionaremos en la carpeta y copiaremos las variables de entorno por defecto a las de nuestra máquina
git clone https://github.com/cisagov/decider.git
cd decider
cp .env.example .env
3.- Una vez tenemos todo esto arrancaremos la herramienta en sí con docker compose , una vez estamos en la carpeta de la herramienta ejecutamos el siguiente comando:
sudo docker-compose up
Accederemos a la ruta https://localhost:8001/ y nos aparecerá la siguiente pantalla de login:
Aquí deberemos introducir si no los hemos configurado (en el repositorio de github está como poder hacerlo) los siguientes valores que vienen por defecto:
Email: admin@admin.com
Password: admin
Y ya tendremos nuestra herramienta funcionando correctamente
En futuras entradas explicaremos más a fondo el funcionamiento una vez haya buceado un poco mas en la inmensa documentación que posee xD gracias por haberme leído hasta aquí!!
Guia de uso oficial: https://github.com/cisagov/decider/blob/develop/docs/Decider_User_Guide_v1.0.0.pdf
Fuentes de información: https://www.cisa.gov/news-events/alerts/2023/03/01/cisa-releases-decider-tool-help-mitre-attck-mapping