® 
TTP (Tacticas, Tecnicas y Procedimientos)
Definicion
TTP son las Tacticas, Tecnicas y Procedimientos que utilizan los ciberdelincuentes en sus ataques.
TTP (Tacticas, Tecnicas y Procedimientos) describe los metodos y enfoques que los ciberdelincuentes y actores de amenazas utilizan en sus ataques. Los TTP son los bloques de construccion de la inteligencia de amenazas y la base del framework MITRE ATT&CK. El conocimiento de los TTP permite a los equipos de seguridad entender, predecir y detectar proactivamente las amenazas.
Como funcionan los TTP?
Los TTP estan estructurados jerarquicamente. Las Tacticas describen el objetivo estrategico del atacante. Las Tecnicas describen como el atacante logra el objetivo tactico. Los Procedimientos describen la implementacion especifica por un actor de amenazas particular.
Importancia del conocimiento de TTP
La deteccion basada en IOC es reactiva. La deteccion basada en TTP es mas estrategica: las tecnicas de ataque subyacentes cambian mucho mas lentamente que las herramientas e indicadores especificos.
Impacto para las organizaciones
El conocimiento de TTP transforma las operaciones de seguridad de reactivas a proactivas. Los threat hunters formulan hipotesis basadas en TTP de actores de amenazas relevantes. Las reglas de deteccion se disenan para reconocer tecnicas en lugar de indicadores especificos.
Proteccion
Utilice MITRE ATT&CK para medir la cobertura de deteccion por tecnica. Integre conocimiento de TTP de inteligencia de amenazas en reglas de deteccion. Realice threat hunting basado en TTP. Pruebe la deteccion de TTP especificos mediante purple teaming.
Como ayuda DEFION
DEFION integra el conocimiento de TTP en todos sus servicios: Red Teaming simula TTP relevantes, Purple Teaming valida la deteccion, y Managed Threat Hunting busca proactivamente patrones de TTP.