Marco de MITRE ATT&CK

Las siglas ATT&CK de MITRE ATT&CK significan tácticas, técnicas y conocimiento común de adversarios.

MITRE ATT&CK cataloga tácticas, técnicas y procedimientos de delincuentes cibernéticos (TTP) a través de cada fase del ciclo de vida del ciberataque, desde la recopilación inicial de información y los comportamientos de planeación de un atacante hasta la ejecución definitiva del ataque. La información de MITRE ATT&CK puede ayudar a los equipos de seguridad a

• simular con precisión ataques cibernéticos para probar las defensas cibernéticas;

• crear políticas y controles de seguridad, y planes de respuesta a incidentes más eficaces; y

• elegir y configurar tecnologías de seguridad para detectar, prevenir y mitigar mejor las ciberamenazas.

Además, la taxonomía MITRE ATT&CK de tácticas, técnicas y subtécnicas adversarias (ver a continuación) establece un lenguaje común que los profesionales de la seguridad pueden usar para compartir información sobre las amenazas cibernéticas y colaborar en la prevención de amenazas.

MITRE ATT&CK no es software en sí. Pero muchas soluciones de software de seguridad empresarial, como analytics de comportamiento de usuarios y entidades (UEBA), detección y respuesta extendidas (XDR), orquestación de seguridad, automatización y respuesta (SOAR) y la información de seguridad y gestión de eventos (SIEM)pueden integrar la información de amenazas de MITRE ATT&CK para actualizar y mejorar las capacidades de detección de amenazas y respuesta.

MITRE ATT&CK fue desarrollado por MITRE Corporation, una organización sin fines de lucro, y es mantenido por MITRE con aportes de una comunidad global de profesionales de la ciberseguridad.

MITRE ATT&CK organiza las tácticas y técnicas de adversario (y las subtécnicas) en matrices. Cada matriz incluye tácticas y técnicas correspondientes a ataques en dominios específicos:

Cada táctica de MITRE ATT&CK representa un objetivo específico, algo que el atacante quiere conseguir en un momento dado. Las tácticas de ATT&CK corresponden estrechamente a las etapas o fases de un ciberataque. Por ejemplo, las tácticas de ATT&CK cubiertas por la matriz empresarial incluyen:

• Reconocimiento: recopilación de información para planificar un ataque.

• Desarrollo de recursos: establecimiento de recursos para apoyar las operaciones de ataque.

• Acceso inicial: penetrar en el sistema o red de destino.

• Ejecución: ejecutar malware o código malicioso en el sistema comprometido.

• Persistencia: mantener el acceso al sistema comprometido (en caso de apagado o reconfiguraciones).

• Escalamiento de privilegios: obtener acceso o permisos de nivel superior (por ejemplo, pasar de acceso de usuario a administrador).

• Evasión de defensa: evitar la detección una vez dentro de un sistema.

• Acceso a credenciales: robar nombres de usuario, contraseñas y otras credenciales de inicio de sesión.

• Descubrimiento: investigación del entorno de destino para conocer los recursos a los que se puede acceder o controlar para apoyar un ataque planificado.

• Movimiento lateral: obtener acceso a recursos adicionales dentro del sistema.

• Recopilación: recopilación de datos relacionados con el objetivo de ataque (por ejemplo, datos para cifrar o exfiltrar como parte de un ataque de ransomware)

• Comando y control: establecer comunicaciones encubiertas o indetectables que permitan al atacante controlar el sistema.

• Exfiltración: robar datos del sistema.

• Impacto: interrumpir, dañar, deshabilitar o destruir datos o procesos de negocio.

Nuevamente, las tácticas y técnicas varían de una matriz a otra (y submatriz). Por ejemplo, la matriz móvil no incluye tácticas de reconocimiento y desarrollo de recursos, pero incluye otras tácticas, Efectos de red y Efectos de servicio remotos, no encontradas en la matriz empresarial.

Si las tácticas de MITRE ATT&CK representan qué quieren lograr los atacantes, las técnicas de MITRE ATT&CK representan cómo intentan lograrlo. Por ejemplo, el compromiso drive-by y el phishing son tipos de técnicas de acceso inicial; el uso de almacenamiento sin archivos es un ejemplo de técnica de evasión de defensa.

La base de conocimientos proporciona la siguiente información para cada técnica:

• Una descripción y lineamientos generales de la técnica.

• Cualquier subtécnica conocida asociada con la técnica. Por ejemplo, las subtécnicas de phishing incluyen archivos anexos de phishing focalizado, enlace de phishing focalizado y phishing focalizado a través del servicio. En esta redacción, MITRE ATT&CK documenta 196 técnicas individuales y 411 subtécnicas.

• Ejemplos de procedimientos relacionados. Estos pueden incluir formas en que los grupos de ataque utilizan la técnica o los tipos de software malicioso utilizados para ejecutar la técnica.

• Mitigaciones: prácticas de seguridad (p. ej., formación de usuarios) o software (p.ej., software antivirus, sistemas de prevención de intrusiones) que pueden bloquear o abordar la técnica.

• Métodos de detección. Por lo general, estos son datos de registro o fuentes de datos del sistema que los equipos de seguridad o el software de seguridad pueden monitorear en busca de evidencia de la técnica.

MITRE ATT&CK ofrece otras formas de ver y trabajar con la base de conocimientos. En lugar de investigar tácticas y técnicas específicas a través de las matrices, los usuarios pueden investigar según:

• Fuentes de datos: un índice de todos los datos de registro o fuentes de datos del sistema y componentes de datos que los equipos de seguridad o el software de seguridad pueden monitorizar en busca de pruebas de intentos de técnicas de ataque.

• Mitigaciones:un índice de todas las mitigaciones a las que se hace referencia en la base de conocimiento. Los usuarios pueden profundizar para saber qué técnicas aborda una mitigación concreta.

• Grupos: un índice de grupos adversarios y las tácticas y técnicas de ataque que utilizan. Al momento de escribir este artículo, MITRE ATT&CK documentó 138 grupos.

• Software: índice de software o servicios maliciosos (740 en esta escritura) que los atacantes pueden utilizar para ejecutar técnicas específicas.

• Campañas, esencialmente una base de datos de ciberataque o campañas de espionaje cibernético, incluida información sobre grupos que los lanzaron y cualquier técnica y software empleado.

MITRE ATT&CK Navigator es una herramienta de código abierto para buscar, filtrar, anotar y presentar datos desde la base de conocimientos. Los equipos de seguridad pueden utilizar MITRE ATT&CK Navigator para identificar y comparar rápidamente las tácticas y técnicas utilizadas por determinados grupos de amenazas, identificar el software utilizado para ejecutar una técnica específica, hacer coincidir las mitigaciones con técnicas específicas y mucho más.

ATT&CK Navigator puede exportar resultados en formato JSON, Excel o Excel (para presentaciones). Los equipos de seguridad pueden usarlo en línea (alojado en GitHub) o descargarlo en una computadora local.

MITRE ATT&CK admite una serie de actividades y tecnologías que las organizaciones utilizan para optimizar sus operaciones de seguridad y mejorar su postura general de seguridad.

Clasificación de alertas, detección de amenazas y respuesta. La información de MITRE ATT&CK es extremadamente valiosa para examinar y priorizar la avalancha de alertas relacionadas con la seguridad generadas por software y dispositivos en una red empresarial típica. De hecho, muchas soluciones de seguridad empresarial, como SIEM (información de seguridad y administración de eventos), UEBA (analytics de comportamiento de usuarios y entidades), EDR (detección y respuesta de endpoints) y XDR (detección y respuesta extendidas), pueden ingerir información de MITRE ATT&CK y usarla para hacer una clasificación de alertas, enriquecer la inteligencia de amenazas cibernéticas de otras fuentes y activar playbooks de respuesta a incidentes o respuestas automatizadas a amenazas.

Caza amenazas. La caza de amenazas es un ejercicio proactivo de seguridad en el que los analistas de seguridad buscan amenazas que han superado las medidas de ciberseguridad existentes. La información de MITRE ATT&CK sobre tácticas, técnicas y procedimientos de adversarios proporciona literalmente cientos de puntos para iniciar o continuar la caza de amenazas.

Equipo rojo/emulación de adversario. Los equipos de seguridad pueden usar la información en MITRE ATT&CK para simular ciberataques del mundo real. Estas simulaciones pueden probar la eficacia de las políticas, prácticas y soluciones de seguridad que tienen y ayudar a identificar las vulnerabilidades que deben abordarse.

Análisis de brechas de seguridad y evaluaciones de madurez del centro de operaciones de seguridad (SOC). El análisis de brechas de seguridad compara las prácticas y tecnologías de ciberseguridad existentes de una organización con el estándar actual de la industria. Una evaluación de madurez del SOC analiza la madurez del SOC de una organización en función de su capacidad para bloquear o mitigar constantemente las ciberamenazas o los ciberataques con una mínima intervención manual. En cada caso, los datos de MITRE ATT&CK pueden ayudar a las organizaciones a realizar estas evaluaciones con los datos más recientes sobre tácticas, técnicas y mitigaciones de amenazas cibernéticas.

Al igual que MITRE ATT&CK, Cyber Kill Chain de Lockheed Martin modela los ciberataques como una serie de tácticas adversarias. Algunas de las tácticas incluso tienen los mismos nombres. Pero ahí termina la similitud.

Cyber Kill Chain es más un marco descriptivo que una base de conocimiento. Es mucho menos detallado que MITRE ATT&CK. Cubre solo siete (7) tácticas: reconocimiento, armamento, entrega, explotación, instalación, comando y control, acciones sobre objetivos,en comparación con las 18 de MITRE ATT&CK (incluidas tácticas móviles y solo ICS). No proporciona modelos discretos para ataques en plataformas móviles o ICS. Y no cataloga nada que se aproxime al nivel de información detallada sobre tácticas, técnicas y procedimientos de MITRE ATT&CK.

Otra distinción importante: Cyber Kill Chain se basa en el supuesto de que cualquier ciberataque debe implementar tácticas adversarias en secuencia para tener éxito, y que bloquear cualquiera de las tácticas "romperá la kill chain" e impedirá que el adversario logre su objetivo final. MITRE ATT&CK no adopta este enfoque; se centra en ayudar a los profesionales de la seguridad a identificar y bloquear o mitigar tácticas y técnicas adversas individuales en cualquier contexto en el que se encuentren.