El marco MITRE ATT&CK (MITRE ATT&CK) es una base de conocimientos universalmente accesible y actualizada para modelar, detectar, prevenir y combatir las amenazas de ciberseguridad basadas en los comportamientos adversarios conocidos de los delincuentes cibernéticos
ATT&CK en MITRE ATT&CK significa Tácticas adversarias, Técnicas y Conocimientos comunes.
MITRE ATT&CK cataloga tácticas, técnicas y procedimientos de delincuentes cibernéticos (TTP) a través de cada fase del ciclo de vida del ciberataque, desde la recopilación inicial de información y los comportamientos de planeación de un atacante hasta la ejecución definitiva del ataque. La información de MITRE ATT&CK puede ayudar a los equipos de seguridad a
simular con precisión ataques cibernéticos para probar las defensas cibernéticas;
crear políticas y controles de seguridad, y planes de respuesta a incidentes más eficaces; y
elegir y configurar tecnologías de seguridad para detectar, prevenir y mitigar mejor las ciberamenazas.
Además, la taxonomía MITRE ATT&CK de tácticas, técnicas y subtécnicas adversarias (ver a continuación) establece un lenguaje común que los profesionales de la seguridad pueden usar para compartir información sobre las amenazas cibernéticas y colaborar en la prevención de amenazas.
MITRE ATT&CK no es software en sí. Pero muchas soluciones de software de seguridad empresarial, como analytics de comportamiento de usuarios y entidades (UEBA), detección y respuesta extendidas (XDR), orquestación de seguridad, automatización y respuesta (SOAR) y la información de seguridad y gestión de eventos (SIEM)pueden integrar la información de amenazas de MITRE ATT&CK para actualizar y mejorar las capacidades de detección de amenazas y respuesta.
MITRE ATT&CK fue desarrollado por MITRE Corporation, una organización sin fines de lucro, y es mantenido por MITRE con aportes de una comunidad global de profesionales de la ciberseguridad.
Trabaje con los consultores de IBM® Threat Management para modernizar su programa de gestión de amenazas, cerrar las brechas tecnológicas y de habilidades, y tomar decisiones más informadas y basadas en el riesgo.
Regístrese para recibir el informe sobre el costo de una filtración de datos
MITRE ATT&CK organiza las tácticas y técnicas de adversario (y las subtécnicas) en matrices. Cada matriz incluye tácticas y técnicas correspondientes a ataques en dominios específicos:
La Matriz empresarial incluye todas las técnicas de adversario utilizadas en los ataques contra la infraestructura empresarial. Esta matriz incluye submatrices para las plataformas Windows, MacOS y Linux, así como también para la infraestructura de red, plataformas en la nube y tecnologías de contenedores. También incluye una matriz PRE de técnicas preparatorias utilizadas antes de un ataque.
La Matriz móvil incluye técnicas utilizadas en ataques directos en dispositivos móviles y en ataques móviles basados en red que no requieren acceso a un dispositivo móvil. Esta matriz incluye submatrices para las plataformas móviles iOS y Android.
La Matriz ICX incluye técnicas utilizadas en ataques a sistemas de control industrial, específicamente la maquinaria, dispositivos, sensores y redes utilizadas para controlar o automatizar operaciones para fábricas, servicios públicos, sistemas de transporte y otros proveedores de servicios críticos.
Cada táctica de MITRE ATT&CK representa un objetivo específico, algo que el atacante quiere conseguir en un momento dado. Las tácticas de ATT&CK corresponden estrechamente a las etapas o fases de un ciberataque. Por ejemplo, las tácticas de ATT&CK cubiertas por la matriz empresarial incluyen:
Reconocimiento: recopilar información para planificar un ataque.
Desarrollo de recursos: establecer recursos para apoyar las operaciones de ataque.
Acceso inicial: penetrar en el sistema o red de destino.
Ejecución: ejecutar malware o código malicioso en el sistema comprometido.
Persistencia: mantener el acceso al sistema comprometido (en caso de apagado o reconfiguraciones).
Escalamiento de privilegios: obtener acceso o permisos de nivel superior (por ejemplo, pasar de acceso de usuario a administrador).
Evasión de defensa: evitar la detección una vez dentro de un sistema.
Acceso a credenciales: robar nombres de usuario, contraseñas y otras credenciales de inicio de sesión.
Descubrimiento: investigación del entorno objetivo para saber a qué recursos se puede acceder o controlar para respaldar un ataque planificado.
Movimiento lateral: obtener acceso a recursos adicionales dentro del sistema.
Recopilación: recopilación de datos relacionados con el objetivo de ataque (por ejemplo, datos para cifrar o exfiltrar como parte de un ataque de ransomware).
Comando y control: establecer comunicaciones encubiertas o indetectables que permitan al atacante controlar el sistema.
Exfiltración: robar datos del sistema.
Impacto: interrumpir, dañar, deshabilitar o destruir datos o procesos de negocio.
Nuevamente, las tácticas y técnicas varían de una matriz a otra (y submatriz). Por ejemplo, la matriz móvil no incluye tácticas de reconocimiento y desarrollo de recursos, pero incluye otras tácticas, Efectos de red y Efectos de servicio remotos, no encontradas en la matriz empresarial.
Si las tácticas de MITRE ATT&CK representan qué quieren lograr los atacantes, las técnicas de MITRE ATT&CK representan cómo intentan lograrlo. Por ejemplo, el compromiso drive-by y el phishing son tipos de técnicas de acceso inicial; el uso de almacenamiento sin archivos es un ejemplo de técnica de evasión de defensa.
La base de conocimientos proporciona la siguiente información para cada técnica:
Una descripción y lineamientos generales de la técnica.
Cualquier subtécnica conocida asociada con la técnica. Por ejemplo, las subtécnicas de phishing incluyen archivos adjuntos spear phishing, enlace spear phishing y spear phishing a través del servicio. En esta escritura, MITRE ATT&CK documenta 196 técnicas individuales y 411 subtécnicas.
Ejemplos de procedimientos relacionados. Estos pueden incluir formas en que los grupos de ataque utilizan la técnica o los tipos de software malicioso utilizados para ejecutar la técnica.
Prácticas de mitigación de seguridad (por ejemplo, capacitación del usuario) o software (p. ej., software antivirus, sistemas de prevención de intrusiones) que pueden bloquear o abordar la técnica.
Métodos de detección. Por lo general, estos son datos de registro o fuentes de datos del sistema que los equipos de seguridad o el software de seguridad pueden monitorear en busca de evidencia de la técnica.
MITRE ATT&CK ofrece otras formas de ver y trabajar con la base de conocimientos. En lugar de investigar tácticas y técnicas específicas a través de las matrices, los usuarios pueden investigar según:
Fuentes de datos, un índice de todos los datos de registro o fuentes de datos del sistema y componentes de datos que los equipos de seguridad o software de seguridad pueden supervisar para detectar pruebas de técnicas de ataque intentadas.
Mitigaciones:un índice de todas las mitigaciones a las que se hace referencia en la base de conocimiento. Los usuarios pueden profundizar para saber qué técnicas aborda una mitigación concreta.
Grupos:un índice de grupos y las tácticas y técnicas de ataque que emplean. Al momento de escribir este artículo, MITRE ATT&CK documentó 138 grupos.
Software. un índice de software o servicios maliciosos (740 en esta escritura) que los atacantes pueden utilizar para ejecutar técnicas específicas.
Campañas, esencialmente una base de datos de ciberataque o campañas de espionaje cibernético, incluida información sobre grupos que los lanzaron y cualquier técnica y software empleado.
MITRE ATT&CK Navigator es una herramienta de código abierto para buscar, filtrar, anotar y presentar datos desde la base de conocimientos. Los equipos de seguridad pueden utilizar MITRE ATT&CK Navigator para identificar y comparar rápidamente las tácticas y técnicas utilizadas por determinados grupos de amenazas, identificar el software utilizado para ejecutar una técnica específica, hacer coincidir las mitigaciones con técnicas específicas y mucho más.
ATT&CK Navigator puede exportar resultados en formato JSON, Excel o Excel (para presentaciones). Los equipos de seguridad pueden usarlo en línea (alojado en GitHub) o descargarlo en una computadora local.
MITRE ATT&CK admite una serie de actividades y tecnologías que las organizaciones utilizan para optimizar sus operaciones de seguridad y mejorar su postura general de seguridad.
Clasificación de alertas, detección de amenazas y respuesta. La información de MITRE ATT&CK es extremadamente valiosa para examinar y priorizar la avalancha de alertas relacionadas con la seguridad generadas por software y dispositivos en una red empresarial típica. De hecho, muchas soluciones de seguridad empresarial, como SIEM (información de seguridad y administración de eventos), UEBA (analytics de comportamiento de usuarios y entidades), EDR (detección y respuesta de endpoints) y XDR (detección y respuesta extendidas), pueden ingerir información de MITRE ATT&CK y usarla para hacer una clasificación de alertas, enriquecer la inteligencia de amenazas cibernéticas de otras fuentes y activar playbooks de respuesta a incidentes o respuestas automatizadas a amenazas.
Caza amenazas. La caza de amenazas es un ejercicio proactivo de seguridad en el que los analistas de seguridad buscan amenazas que han superado las medidas de ciberseguridad existentes. La información de MITRE ATT&CK sobre tácticas, técnicas y procedimientos de adversarios proporciona literalmente cientos de puntos para iniciar o continuar la caza de amenazas.
Equipo rojo/emulación de adversario. Los equipos de seguridad pueden usar la información en MITRE ATT&CK para simular ciberataques del mundo real. Estas simulaciones pueden probar la eficacia de las políticas, prácticas y soluciones de seguridad que tienen y ayudar a identificar las vulnerabilidades que deben abordarse.
Análisis de brechas de seguridad y evaluaciones de madurez del centro de operaciones de seguridad (SOC). El análisis de brechas de seguridad compara las prácticas y tecnologías de ciberseguridad existentes de una organización con el estándar actual de la industria. Una evaluación de madurez del SOC analiza la madurez del SOC de una organización en función de su capacidad para bloquear o mitigar constantemente las ciberamenazas o los ciberataques con una mínima intervención manual. En cada caso, los datos de MITRE ATT&CK pueden ayudar a las organizaciones a realizar estas evaluaciones con los datos más recientes sobre tácticas, técnicas y mitigaciones de amenazas cibernéticas.
Al igual que MITRE ATT&CK, Cyber Kill Chain de Lockheed Martin modela los ciberataques como una serie de tácticas adversarias. Algunas de las tácticas incluso tienen los mismos nombres. Pero ahí termina la similitud.
Cyber Kill Chain es más un marco descriptivo que una base de conocimiento. Es mucho menos detallado que MITRE ATT&CK. Cubre solo siete (7) tácticas: reconocimiento, armamento, entrega, explotación, instalación, comando y control, acciones sobre objetivos,en comparación con las 18 de MITRE ATT&CK (incluidas tácticas móviles y solo ICS). No proporciona modelos discretos para ataques en plataformas móviles o ICS. Y no cataloga nada que se aproxime al nivel de información detallada sobre tácticas, técnicas y procedimientos de MITRE ATT&CK.
Otra distinción importante: Cyber Kill Chain se basa en el supuesto de que cualquier ciberataque debe implementar tácticas adversarias en secuencia para tener éxito, y que bloquear cualquiera de las tácticas "romperá la kill chain" e impedirá que el adversario logre su objetivo final. MITRE ATT&CK no adopta este enfoque; se centra en ayudar a los profesionales de la seguridad a identificar y bloquear o mitigar tácticas y técnicas adversas individuales en cualquier contexto en el que se encuentren.
IBM® Security trabaja con usted para ayudarle a proteger su negocio con una cartera avanzada e integrada de soluciones y servicios de ciberseguridad empresarial infundidos con IA.
Simule ataques para probar, medir y mejorar la detección de riesgos y la respuesta a incidentes.
Aproveche un equipo de analistas de inteligencia de categoría mundial para comprender cómo está cambiando el escenario de las amenazas y las últimas técnicas que emplean los actores de amenazas.
Los ataques cibernéticos son intentos por parte de delincuentes cibernéticos de robar, exponer, alterar, deshabilitar o destruir información a través del acceso no autorizado a los sistemas informáticos.
La gestión de eventos e información de seguridad (SIEM) ofrece monitoreo y análisis en tiempo real de eventos, así como seguimiento y registro de datos de seguridad para fines de cumplimiento o auditoría.
La caza de amenazas es un enfoque proactivo para identificar amenazas desconocidas o continuas no reparadas dentro de la red de una organización.