Todo lo que necesitas saber sobre el marco MITRE ATT&CK
El marco MITRE ATT&CK es un excelente punto de partida para estudiar las últimas tácticas y técnicas de ciberseguridad. También es una lista de verificación útil al planificar y ejecutar protecciones de ciberseguridad.
En este artículo te guiaremos a través de:
- ¿Qué es el marco MITRE ATT&CK?
- ¿Cómo surgió MITRE?
- Matrices ATT&CK
- ¿Cuáles son las tácticas del marco ATT&CK?
- ¿Cuáles son las técnicas del marco ATT&CK?
- ¿Qué es el conocimiento común en el marco ATT&CK?
- Comparación de MITRE ATT&CK con la cadena de ciberataques de Lockheed Martin
- ¿Qué criterios utiliza MITRE ATT&CK para evaluar productos de seguridad?
- Mejores prácticas del marco MITRE ATT&CK
- Beneficios del marco MITRE ATT&CK
- Desafíos del marco MITRE ATT&CK
- Ejemplos de casos de uso para el marco ATT&CK
- MITRE ATT&CK hoy en día
- Recursos y proyectos ATT&CK
¿Qué es el marco MITRE ATT&CK?
MITRE ATT&CK es un acrónimo de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). El marco MITRE ATT&CK es una biblioteca de conocimientos públicamente disponible sobre tácticas y estrategias adversarias basadas en observaciones del mundo real.
Se puede acceder a ella desde cualquier parte del mundo. El propósito del marco Mitre Att&ck es proporcionarte el conocimiento de todos los ataques de seguridad que ocurrieron en el pasado y las tácticas y técnicas utilizadas en ellos, para que puedas evaluar si tu mecanismo de defensa de seguridad es lo suficientemente bueno para prevenirlos o qué nuevas acciones debes tomar para evitar posibles ataques.
Este marco tiene como objetivo fortalecer la identificación de adversarios después de un compromiso en las empresas, mostrando las actividades que un atacante podría haber realizado. Este marco aborda las siguientes preguntas y áreas.
- ¿Cómo los atacantes obtienen acceso?
- ¿Cómo se mueven?
- Concienciación sobre el estado de seguridad de una empresa
- Identificar y priorizar las debilidades defensivas en una organización según el riesgo.
¿Cómo surgió MITRE?
MITRE es una organización sin fines de lucro que asesora al gobierno federal en asuntos de ingeniería y tecnología.
En 2013, el grupo creó el marco para ser utilizado en un proyecto de investigación de MITRE y lo llamó según la información recopilada (ATT&CK – Adversarial Tactics, Techniques, and Common Knowledge).
MITRE ATT&CK se hizo disponible gratuitamente al público en general en 2015. Sin embargo, ahora ayuda a los equipos de seguridad en una variedad de industrias.
Matrices ATT&CK
La matriz MITRE ATT&CK es una representación gráfica de todas las tácticas y técnicas existentes de manera fácil de seguir. Principalmente, hay varias matrices diferentes, como se detalla a continuación:
Pre-ATT&CK
Esta matriz se centra en actividades que ocurren antes de un ataque y que están principalmente ocultas a la vista de la institución.
Ayuda a los equipos de seguridad a comprender cómo los atacantes llevan a cabo una investigación, eligen su punto de entrada y monitorean e identifican acciones del atacante fuera de la red de la empresa.
Windows
Técnicas utilizadas para hackear todas las versiones de Windows OS.
macOS
Técnicas utilizadas para hackear macOS.
Linux
Técnicas utilizadas para hackear todas las variantes de Linux, como Ubuntu.
Mobile ATT&CK
Este modelo de riesgo describe cómo los atacantes pueden penetrar en dispositivos móviles utilizando diversas tácticas y técnicas. Los «impactos basados en red» son métodos de ataque que pueden llevarse a cabo sin requerir acceso directo al dispositivo.
Enterprise ATT&CK
Este modelo explica principalmente las acciones llevadas a cabo por un atacante en el entorno corporativo.
Se centra principalmente en el comportamiento una vez que se ha alcanzado un compromiso. La matriz Enterprise ATT&CK combina las matrices de Windows, macOS y Linux.
Avanzando en cómo se utilizan las matrices ATT&CK, las técnicas individuales se muestran debajo de cada columna, con tácticas de ataque mostradas en la parte superior.
Un atacante no tiene que implementar los once métodos al comienzo de la matriz. En su lugar, el atacante empleará la menor cantidad de estrategias posibles para lograr su objetivo, lo cual es más eficiente y reduce el riesgo de ser descubierto.
Como se muestra en la figura, una secuencia de ataque en la matriz Enterprise ATT&CK tendría al menos un método por estrategia, y una serie completa de ataques se formaría avanzando de izquierda a derecha (acceso inicial a comando y control).
¿Cuáles son las tácticas del marco ATT&CK?
La primera ‘T’ en ATT&CK significa tácticas, que es la última forma de considerar los ciberataques. En lugar de analizar los resultados de un ataque, las tácticas pueden reconocer un ataque en curso.
Además, las tácticas pueden tomarse como el «por qué» de la técnica de ataque. Principalmente hay 14 ataques en este marco que se enumeran a continuación:
- Reconocimiento: la acción de recopilar información utilizada para organizar ataques
- Desarrollo de recursos: construcción de infraestructura que puede utilizarse en ataques
- Acceso inicial: vectores de ataque principales y esfuerzos para romper la seguridad
- Ejecución: intento de introducir y ejecutar código malicioso
- Persistencia: uso de múltiples estrategias para mantener la persistencia en una red comprometida
- Escalada de privilegios: obtención de los privilegios y permisos de acceso necesarios para llevar a cabo ataques de escalada de funciones
- Evasión de defensas: los atacantes utilizan diversas técnicas para evitar ser descubiertos en la red
- Acceso a credenciales: método de observación y adquisición de datos de inicio de sesión para sistemas que aún no han sido completamente infiltrados (registro de teclas)
- Descubrimiento: infectar y controlar otros sistemas en la red
- Movimiento lateral: saltar de un sistema afectado al siguiente
- Comando y control: conexión con computadoras comprometidas a través de internet desde sistemas de cibercrimen
- Recolección: obtención de información que puede venderse o utilizarse para planificar futuros ataques o chantajes
- Exfiltración: transferencia de datos a bases de datos de ciberdelincuentes para ser revendidos
- Impacto: interrupción del funcionamiento de los sistemas informáticos.
less
¿Cuáles son las técnicas del marco ATT&CK?
Las técnicas están representadas por la segunda «T» de ATT&CK. Cada enfoque de un ciberataque consta de una colección de técnicas utilizadas por los hackers y las entidades amenazantes.
Las técnicas reflejan el «cómo», es decir, cómo el atacante llevó a cabo una táctica. Actualmente, se pueden identificar 185 métodos y 367 sub-técnicas en el marco.
Cada técnica describe cómo actúan los actores de amenazas, incluidas las credenciales necesarias, las plataformas en las que la tecnología se utiliza con mayor frecuencia y cómo identificar órdenes o comportamientos relacionados con el enfoque.
¿Qué es el Conocimiento Común en el marco ATT&CK?
ATT&CK termina con la letra «CK», que hace referencia a «conocimiento común». Estas son declaraciones detalladas de cómo un enemigo pretende lograr su objetivo.
El conocimiento común es esencialmente el registro de procedimientos. Tácticas (T), Técnicas (T) y Procedimientos (P) son términos estándar para las personas familiarizadas con la ciberseguridad. Sin embargo, «CK» es un acrónimo de «P».
¿Comparación del MITRE ATT&CK con la cadena de muerte cibernética de Lockheed Martin?
En cuanto a la comparación, ambos modelos definen las acciones tomadas por un atacante para lograr su objetivo.
La principal diferencia entre la matriz ATT&CK y la cadena de muerte cibernética de Lockheed Martin es que la primera es una colección de técnicas organizadas por tácticas y no sugiere una secuencia precisa de operaciones.
Sin embargo, la cadena de muerte cibernética de Lockheed Martin tiene siete pasos, mientras que el Mitre ATT&CK tiene diez pasos, como se muestra a continuación.
Cadena de muerte cibernética de Lockheed Martin:
- Reconocimiento
- Arme
- Entrega
- Explotación
- Instalación
- Comando y control
- Acciones sobre objetivos
Mitre ATT&CK
- Acceso inicial
- Ejecución
- Persistencia
- Escalada de privilegios
- Evasión de defensas
- Acceso a credenciales
- Descubrimiento
- Movimiento lateral
- Recolección y exfiltración
- Comando y control
¿Cuáles son las técnicas del marco ATT&CK?
Las técnicas están representadas por la segunda «T» de ATT&CK. Cada enfoque de un ciberataque consta de una colección de técnicas utilizadas por los hackers y las entidades amenazantes.
Las técnicas reflejan el «cómo», es decir, cómo el atacante llevó a cabo una táctica. Actualmente, se pueden identificar 185 métodos y 367 sub-técnicas en el marco.
Cada técnica describe cómo actúan los actores de amenazas, incluidas las credenciales necesarias, las plataformas en las que la tecnología se utiliza con mayor frecuencia y cómo identificar órdenes o comportamientos relacionados con el enfoque.
Mejores prácticas del marco de trabajo MITRE ATT&CK
- Utiliza las aplicaciones y escenarios del mundo real de la lista de Grupos. No hay manera de detener las amenazas desconocidas si no puedes protegerte ni siquiera contra las amenazas reconocidas.
- Usando las matrices ATT&CK, identifica las brechas en la seguridad existente y crea estrategias para solucionarlas.
- Comunica e intercambia técnicas ATT&CK como un lenguaje compartido para tu personal de seguridad.
-
Nunca creas que solo porque puedes protegerte contra una técnica de una manera, no te verás afectado por ella de otra manera.
Beneficios del marco MITRE ATT&CK:
- Al compararlos con las tácticas y técnicas ATT&CK a las que se aplican, los controles defensivos tendrán un significado claro.
- Cuando asignas defensas a ATT&CK, obtienes un mapa de brechas defensivas que los cazadores de amenazas pueden utilizar para descubrir la actividad del atacante que falta.
- Puede ayudar a identificar fortalezas y debilidades defensivas, verificar controles de prevención y reconocimiento, y exponer problemas de configuración y otros problemas de infraestructura.
- Diversos servicios y aplicaciones pueden especializarse en estrategias y procedimientos de ATT&CK, proporcionando protección que a menudo carece de cohesión.
- Los defensores pueden establecer un entendimiento mutuo al comunicar información sobre un ataque, un individuo o grupo, o controles defensivos empleando técnicas y tácticas de ATT&CK.
- Las operaciones de equipos rojo, púrpura y pruebas de penetración podrían utilizar ATT&CK para comunicarse con atacantes y receptores de informes, así como entre ellos durante la preparación, operación y presentación de informes.
Desafíos del marco MITRE ATT&CK
La buena noticia es que las permutaciones de datos del marco Mitre ATT&CK son bastante completas. La triste realidad es que es muy detallado.
Puede resultar intimidante para alguien en una empresa que recién está comenzando. Hay mucha información para manejar, y muchas organizaciones no han automatizado gran parte de ella para correlacionarla con los datos en su sistema y su arquitectura de seguridad.
Otro desafío es que no todos los comportamientos que se ajustan a una estrategia ATT&CK son maliciosos. Por ejemplo, la eliminación de archivos es una técnica mencionada en Evasión de Defensa que tiene mucho sentido.
Pero, ¿cómo podrías distinguir entre las eliminaciones de archivos típicas y el intento de un sospechoso de evitar la detección?
Del mismo modo, podemos ver que algunas técnicas de ATT&CK son más difíciles de identificar. Suponiendo que sepas dónde buscar, los ataques de fuerza bruta son bastante fáciles de ver.
Sin embargo, si estás buscándolo, la exfiltración utilizando un protocolo alternativo, como un túnel DNS, podría ser difícil de identificar.
Casos de uso ejemplos para el marco ATT&CK:
RE ATT&CK puede ser utilizado de diversas maneras por un equipo de seguridad, que incluyen:
- Aprender un lenguaje compartido que te ayude a comunicarte con consultores y proveedores.
- Realizar un análisis de brechas de seguridad y desarrollar una estrategia de mejora de seguridad.
- Aumentar la efectividad de la inteligencia de amenazas cibernéticas
- Acelerar la clasificación y la investigación de alertas.
- Hacer que los ejercicios de equipo rojo y las simulaciones de oponentes sean más realistas al crear entornos más auténticos.
- Comunicación clara y concisa a las partes interesadas.
MITRE ATT&CK hoy en día
ATT&CK es uno de los recursos de tácticas de hackers más completos y autorizados disponibles. Las empresas de ciberseguridad están haciendo referencia cada vez más a las estrategias de ataque como ATT&CK, y están utilizando los modelos MITRE ATT&CK para crear defensas y software especializado. MITRE actualiza ATT&CK regularmente.
MITRE ha publicado recientemente un proceso de certificación de software. MITRE puede certificar a empresas de software en función de su capacidad para rastrear tácticas de ATT&CK.
Recursos y proyectos de ATT&CK
MITRE y otros desarrolladores de terceros utilizan ATT&CK para ayudar a los equipos rojo y azul en sus esfuerzos de pruebas de penetración y defensa.
- Cascade: conjunto de herramientas de automatización del equipo azul de MITRE
- Caldera: herramienta de emulación de MITRE para técnicas de ataque automatizadas
- Oilrig: Adversary Playbook de Palo Alto basado en el modelo ATT&CK.
- Attack Navigator: aplicación web para tomar notas y hacer seguimiento de tu estado de ATT&CK.
-
Repositorio de análisis cibernéticos de MITRE: es un proyecto distinto de ATT&CK que realiza seguimiento de estrategias específicas para detectarlas.
Conclusión
El marco MITRE ATT&CK es un excelente punto de partida para estudiar las últimas tácticas y técnicas de ataque en ciberseguridad. También es una lista de verificación útil al planificar y ejecutar protecciones de ciberseguridad.
Es algo que todas las empresas deben hacer para mejorar su presencia en la nube. Nunca se sabe cuándo tu empresa será la próxima en ser atacada por ciberdelincuentes. Es mejor prevenir que lamentar.