Marco MITRE ATT&CK

Las siglas ATT&CK de MITRE ATT&CK significan tácticas, técnicas y saber generalizado del adversario.

MITRE ATT&CK cataloga las tácticas, técnicas y procedimientos (TTP) de los ciberdelincuentes en cada una de las fases del ciclo de vida de un ciberataque: desde la recopilación inicial de información y los comportamientos de planificación del atacante hasta la ejecución final del ataque. La información de MITRE ATT&CK puede ayudar a los equipos de seguridad

• a simular con precisión ciberataques para probar las defensas cibernéticas;

• a crear políticas de seguridad, controles de seguridad y planes de respuesta a incidentes más eficaces; y

• a elegir y configurar tecnologías de seguridad para detectar, prevenir y mitigar mejor las ciberamenazas

Además, la taxonomía ATT&CK de MITRE sobre tácticas, técnicas y subtécnicas de los adversarios (véase más abajo) establece un lenguaje común que los profesionales de la seguridad pueden utilizar para compartir información sobre ciberamenazas y colaborar en la prevención de las mismas.

MITRE ATT&CK no es un software en sí. Sin embargo, muchas soluciones de software de seguridad empresarial, como el análisis del comportamiento de usuarios y entidades (UEBA), la detección y respuesta extendidas (XDR), la orquestación, automatización y respuesta de seguridad (SOAR) y la gestión de eventos e información de seguridad (SIEM)pueden integrar la información sobre amenazas de MITRE ATT&CK para actualizar y mejorar sus capacidades de detección y respuesta ante amenazas.

MITRE ATT&CK fue desarrollado por MITRE Corporation, una organización sin ánimo de lucro, y es mantenido por MITRE con aportaciones de una comunidad global de profesionales de la ciberseguridad.

MITRE ATT&CK organiza las tácticas y técnicas (y subtécnicas) de adversario en matrices. Cada matriz incluye tácticas y técnicas correspondientes a ataques en dominios específicos:

Cada táctica de MITRE ATT&CK representa un objetivo adversario concreto, algo que el atacante quiere conseguir en un momento dado. Las tácticas ATT&CK se corresponden estrechamente con las etapas o fases de un ciberataque. Por ejemplo, las tácticas ATT&CK cubiertas por la matriz empresarial incluyen:

• Reconocimiento: recopilar información para planificar un ataque.

• Desarrollo de recursos: establecer recursos para apoyar las operaciones de ataque.

• Acceso inicial: penetrar en el sistema o red de destino.

• Ejecución: ejecutar malware o código malicioso en el sistema comprometido.

• Persistencia: mantener el acceso al sistema comprometido (en caso de cierre o reconfiguraciones).

• Aumento de privilegios: obtener acceso o permisos de nivel superior (p.ej., pasar del acceso de usuario al de administrador).

• Evasión de defensa: evitar la detección una vez dentro de un sistema.

• Acceso a credenciales: robar nombres de usuario, contraseñas y otras credenciales de inicio de sesión.

• Descubrimiento: investigar el entorno objetivo para saber qué recursos son accesibles o controlables durante un ataque planificado.

• Movimiento lateral: obtener acceso a recursos adicionales dentro del sistema.

• Recopilación: recopilar datos relacionados con el objetivo del ataque (p. ej., datos para cifrar y/o exfiltrar como parte de un ataque de ransomware)

• Comando y control: establecer comunicaciones encubiertas/indetectables que permitan al atacante controlar el sistema.

• Exfiltración: robar datos del sistema.

• Impacto: interrupción, corrupción, desactivación o destrucción de datos o procesos empresariales.

De nuevo, las tácticas y técnicas varían de matriz a matriz (y submatriz). Por ejemplo, la Matriz Móvil no incluye las tácticas de Reconocimiento y Desarrollo de Recursos, pero incluye otras tácticas (efectos de red y efectos de servicio remoto) que no se encuentran en la matriz empresarial.

Si las tácticas MITRE ATT & CK representan lo que los atacantes quieren lograr, las técnicas MITRE ATT&CK representan la forma en que intentan lograrlo. Por ejemplo, el compromiso oculto y el spear phishing son tipos de técnicas de acceso inicial. El uso de almacenamiento sin archivos es un ejemplo de técnica de evasión de la defensa.

La base de conocimientos proporciona la siguiente información para cada técnica:

• Descripción y visión general de la técnica.

• Cualquier subtécnica conocida asociada con la técnica. Por ejemplo, entre las subtécnicas de phishing se incluyen el spear phishing por archivo adjunto, el spear phishing por enlace y el spear phishing a través de un servicio. En este escrito, MITRE ATT&CK documenta 196 técnicas individuales y 411 subtécnicas.

• Ejemplos de procedimientos relacionados. Estos pueden incluir formas en que los grupos de ataque utilizan la técnica, o tipos de software malicioso utilizados para ejecutar la técnica.

• Mitigaciones: prácticas de seguridad (p. ej., formación de usuarios) o software (p.ej., software antivirus, sistemas de prevención de intrusiones) que pueden bloquear o abordar la técnica.

• Métodos de detección. Normalmente se trata de datos de registro o fuentes de datos del sistema que los equipos de seguridad o el software de seguridad pueden supervisar en busca de pruebas de la técnica.

MITRE ATT&CK ofrece otras formas de ver y trabajar con la base de conocimientos. En lugar de investigar tácticas y técnicas específicas a través de las matrices, los usuarios pueden investigar basándose en lo siguiente:

• Fuentes de datos: un índice de todos los datos de registro o fuentes de datos del sistema y componentes de datos que los equipos de seguridad o el software de seguridad pueden monitorizar en busca de pruebas de intentos de técnicas de ataque.

• Mitigaciones: un índice de todas las mitigaciones a las que se hace referencia en la base de conocimientos. Los usuarios pueden profundizar para saber qué técnicas aborda una mitigación concreta.

• Grupos: un índice de grupos adversarios y las tácticas y técnicas de ataque que emplean. En el momento de escribir este artículo, MITRE ATT&CK documentó 138 grupos.

• Software: un índice del software o los servicios maliciosos (740 en el momento de escribir este artículo) que los atacantes pueden utilizar para ejecutar determinadas técnicas.

• Campañas: Básicamente, una base de datos de campañas de ciberataque o ciberespionaje, que incluye información sobre los grupos que las lanzaron y las técnicas y programas informáticos empleados.

MITRE ATT&CK Navigator es una herramienta de código abierto para buscar, filtrar, anotar y presentar datos desde la base de conocimientos. Los equipos de seguridad pueden utilizarlo para identificar y comparar rápidamente las tácticas y técnicas utilizadas por determinados grupos de amenazas, identificar el software utilizado para ejecutar una técnica específica, adecuar las mitigaciones a técnicas específicas, etc.

ATT&CK Navigator puede exportar resultados en formato gráfico JSON, Excel o SVG (para presentaciones). Los equipos de seguridad pueden usarlo en línea (alojado en GitHub) o descargarlo en un ordenador local.

MITRE ATT&CK da soporte a una serie de actividades y tecnologías que las organizaciones utilizan para optimizar sus operaciones de seguridad y mejorar su postura general de seguridad.

Triaje de alertas, detección y respuesta a amenazas. La información de MITRE ATT&CK es extremadamente valiosa para cribar y priorizar el diluvio de alertas relacionadas con la seguridad generadas por el software y los dispositivos de una red empresarial típica. De hecho, muchas soluciones de seguridad empresarial, como SIEM (gestión de información y eventos de seguridad), UEBA (análisis del comportamiento de usuarios y entidades), EDR (detección y respuesta de endpoints) y XDR (detección y respuesta extendidas), pueden ingerir información de MITRE ATT&CK y utilizarla para clasificar alertas, enriquecer la inteligencia sobre ciberamenazas procedente de otras fuentes y activar guías de estrategias de respuesta a incidentes o respuestas automatizadas a amenazas.

Búsqueda de amenazas. La búsqueda de amenazas es un ejercicio de ciberseguridad proactivo en el que los analistas de seguridad buscan en su red amenazas que hayan eludido las medidas de ciberseguridad existentes. La información de MITRE ATT&CK sobre tácticas, técnicas y procedimientos de los adversarios proporciona literalmente cientos de puntos para iniciar o continuar la caza de amenazas.

Equipo rojo/emulación de adversario. Los equipos de seguridad pueden utilizar la información de MITRE ATT&CK para simular ciberataques reales. Estas simulaciones pueden poner a prueba la eficacia de las políticas, prácticas y soluciones de seguridad que tienen implantadas, y ayudar a identificar las vulnerabilidades que deben abordarse.

Análisis de brechas de seguridad y evaluaciones de madurez del centro de operaciones de seguridad (SOC). El análisis de las vulnerabilidades de seguridad compara las prácticas y tecnologías de ciberseguridad existentes en una organización con las normas actuales del sector. Una evaluación de la madurez del SOC determina la madurez del SOC de una organización en función de su capacidad para bloquear o mitigar sistemáticamente las ciberamenazas o los ciberataques con una intervención manual mínima o nula. En cada caso, los datos de MITRE ATT&CK pueden ayudar a las organizaciones a realizar estas evaluaciones utilizando los datos más recientes sobre tácticas, técnicas y mitigaciones de ciberamenazas.

Al igual que MITRE ATT&CK, Cyber Kill Chain de Lockheed Martin modela los ciberataques como una serie de tácticas de adversario. Algunas de las tácticas incluso tienen los mismos nombres. Pero ahí acaba la similitud.

Cyber Kill Chain es más un marco descriptivo que una base de conocimientos. Es mucho menos detallado que MITRE ATT&CK. Cubre solo siete (7) tácticas: reconocimiento, armamento, entrega, explotación, instalación, comando y control, acciones sobre objetivos,en comparación con las 18 de MITRE ATT&CK (incluidas tácticas móviles y solo ICS). No proporciona modelos discretos para ataques en plataformas móviles o ICS. Y no cataloga nada que se aproxime al nivel de información detallada sobre tácticas, técnicas y procedimientos de MITRE ATT&CK.

Otra distinción importante: Cyber Kill Chain se basa en el supuesto de que cualquier ciberataque debecumplir las tácticas de adversario en secuencia para tener éxito, y que el bloqueo de cualquiera de las tácticas "romperá la cadena de ataque" y frustrará al adversario de lograr su objetivo final. MITRE ATT&CK no adopta este enfoque; se centra en ayudar a los profesionales de la seguridad a identificar y bloquear o mitigar las tácticas y técnicas individuales de los adversarios en cualquier contexto en el que se encuentren.