Estudio y Propuesta de Casos de Uso para la Detección de Ataques APT mediante el Framework MITRE ATT&CK en un SIEM Open Source, y Evaluación de Herramientas de Pentesting

Abstract

En el contexto actual de transformación digital, las organizaciones enfrentan amenazas cibernéticas cada vez más sofisticadas, entre las que destacan las Amenazas Persistentes Avanzadas (APT) por su capacidad de infiltración prolongada y sigilosa. Este proyecto tiene como objetivo diseñar e implementar casos de uso específicos para la detección de APTs utilizando el framework MITRE ATT&CK en un entorno con un SIEM de código abierto, considerando las limitaciones de recursos disponibles. La propuesta se desarrolla en un entorno controlado, mediante la simulación de ataques reales y la recolección de logs, los cuales son analizados y correlacionados para identificar tácticas, técnicas y procedimientos (TTP) empleados por atacantes. Las fases del proyecto incluyen el levantamiento de la infraestructura, instalación de herramientas de monitoreo, ejecución de escenarios de ataque, y evaluación de la efectividad de las reglas implementadas.El enfoque metodológico está orientado a aprovechar datos históricos y correlaciones complejas para mejorar la capacidad de detección, todo esto alineado con el framework MITRE ATT&CK. Los resultados obtenidos permiten validar la eficacia de las soluciones propuestas en contextos de bajo presupuesto, aportando a la mejora de la postura de ciberseguridad organizacional y fomentando el uso de herramientas open source como alternativa viable para la detección avanzada de amenazas. In the current context of digital transformation, organizations face increasingly sophisticated cyber threats, among which Advanced Persistent Threats (APTs) stand out for their ability to infiltrate systems in a stealthy and prolonged manner. This project aims to design and implement specific use cases for APT detection using the MITRE ATT&CK framework within a resource-constrained environment, leveraging an open-source SIEM platform.The proposed solution is developed in a controlled environment through the simulation of real attack scenarios and the collection of security logs, which are then analyzed and correlated to identify tactics, techniques, and procedures (TTPs) employed by threat actors. The project's phases include infrastructure setup, deployment of monitoring tools, attack execution, and evaluation of the effectiveness of implemented rules.The methodological approach focuses on utilizing historical data and complex correlations to enhance detection capabilities, fully aligned with the MITRE ATT&CK framework. The results validate the effectiveness of the proposed solutions in low-budget contexts, contributing to the improvement of organizational cybersecurity posture and promoting the use of open-source tools as a viable alternative for advanced threat detection.