¿Qué es el marco de trabajo MITRE ATT&CK?

ATT&CK detalla el comportamiento y la taxonomía de las acciones del adversario en los ciclos de vida de la amenaza, lo que mejora la inteligencia sobre las amenazas y las operaciones o la arquitectura de seguridad.

El marco de trabajo MITRE ATT&CK tiene dos partes: ATT&CK for Enterprise, que es una base de conocimientos detallada que abarca el comportamiento contra las redes de TI y la nube empresariales, y ATT&CK for Mobile, que se centra en el comportamiento contra los dispositivos móviles.

MITRE creó ATT&CK en 2013 como un medio para documentar las tácticas, técnicas y procedimientos comunes propios de las amenazas persistentes avanzadas (APT) contra las organizaciones. Su popularidad es cada vez mayor y cuenta con el apoyo del sector por ser un medio que desarrolla una taxonomía común y un modelo de relaciones para los equipos defensivos y de investigación que buscan entender y repeler las actividades de ataque y los comportamientos del adversario a medida que evolucionan.

El marco de trabajo aborda cuatro problemas principales:

Comportamientos del adversario

Los atacantes pueden cambiar rápidamente indicadores típicos como direcciones IP, dominios, claves de registro, hashes de archivos, etc. Sin embargo estos indicadores solo son útiles para la detección del ataque, pero no indican cómo han interactuado los atacantes con los diferentes sistemas; solo revelan que ha habido interacción con un sistema en algún momento. La detección de posibles comportamientos de adversarios ayuda a centrar las investigaciones en tácticas y técnicas menos efímeras o de poca confianza.

Modelos de ciclo de vida que no han funcionado

Conceptos como el ciclo de vida del adversario o Cyber Kill Chain son de un nivel demasiado alto para poder relacionar los comportamientos con las defensas. Ese nivel de abstracción no ha sido útil para asociar las tácticas, las técnicas y los procedimientos comunes con nuevos sensores.

Aplicabilidad a entornos reales

Es importante basar las tácticas, las técnicas y los procedimientos comunes en incidentes y campañas observados para demostrar que el trabajo tiene una aplicación.

Taxonomía común

Las tácticas, las técnicas y los procedimientos deben ser comparables entre distintos tipos de grupos de adversarios utilizando la misma terminología.

El marco de trabajo ATT&CK funciona como una autoridad sobre los comportamientos y las técnicas que emplean los hackers contra las organizaciones. Elimina la ambigüedad y propone un vocabulario centralizado para los profesionales del sector, lo que les ayuda a debatir y colaborar para combatir a los atacantes y aplicar medidas de seguridad prácticas.

ATT&CK añade rigor y detalle más allá de la inteligencia de amenazas y las técnicas de herramientas que son útiles en ataques oportunistas y menos dirigidos. La pirámide del dolor explica cómo complementa a otros indicadores comunes hoy en día.

La pirámide del dolor es una representación de los tipos de indicadores de compromiso. Mide la posible utilidad de la inteligencia de amenazas y se centra en la respuesta a incidentes y la detección de amenazas.

Trivial: valores de hash

Los valores de hash se generan a través de algoritmos como el MD5 o el SHA y representan un archivo malicioso específico. Los hashes proporcionan referencias específicas a malware y archivos sospechosos que utilizan los atacantes para la intrusión.

Comportamientos de los atacantes

Fácil: direcciones IP

Las direcciones IP son uno de los indicadores más fundamentales de la fuente de un ataque malicioso. Sin embargo, es posible adoptar una dirección IP mediante un servicio de proxy y cambiarla con frecuencia.

Simple: nombres de dominio

Puede haber un nombre de dominio o incluso un tipo de subdominio registrado, pagado y alojado. Sin embargo, hay muchos proveedores de servicios DNS que han relajado los estándares de registro.

Molesto: artefactos de red/host

Los artefactos de red son elementos de actividad que pueden identificar a un usuario malicioso y distinguirlo de un usuario legítimo. Puede tratarse de un patrón URI o de información C2 que se integra en los protocolos de red.

Los artefactos de host son elementos observables provocados por actividades adversas en un host que identifica actividades maliciosas y las distingue de actividades legítimas. Estos identificadores incluyen claves de registro o valores que se sabe que son creados por malware, o archivos/directorios que se dejan en ciertas áreas.

Desafiante: herramientas

Por lo general, las herramientas son tipos de software que los atacantes utilizan en nuestra contra. También puede tratarse de una serie de herramientas que ellos incorporan para interactuar con el código o el software existente. Entre estas herramientas se incluyen utilidades que crean documentos maliciosos para el spear phishing, puertas traseras que establecen C2, programas de descifrado de contraseña u otras utilidades que puedan comprometer nuestra seguridad.

Difícil: TTP

Las tácticas, las técnicas y los procedimientos están en la parte superior de la pirámide. Este es el proceso completo de cómo un atacante cumple su misión, desde la fase de investigación inicial hasta la exfiltración de los datos, con todas las fases que hay entre ellas.

La matriz ATT&CK es la visualización de la relación entre las tácticas y las técnicas. Las tácticas son la idea de mayor nivel que explica por qué un atacante está realizando la acción y las técnicas son las acciones que el atacante realiza para llevar a cabo su táctica.

¿Qué son las tácticas del marco de trabajo ATT&CK?

El marco de trabajo ATT&CK Enterprise tiene 14 tácticas que constituyen el "por qué" de la ecuación. Las tácticas se clasifican de la siguiente manera:

  • Reconocimiento
  • Desarrollo de recursos
  • Acceso inicial
  • Ejecución
  • Persistencia
  • Escalada de privilegios
  • Evasión de defensas
  • Acceso a credenciales
  • Descubrimiento
  • Movimiento lateral
  • Recopilación
  • Comando y control
  • Exfiltración

¿Cuáles son las técnicas del marco de trabajo ATT&CK?

Dentro de cada táctica hay una serie de técnicas que los grupos de amenazas o malware utilizan en su afán por comprometer la seguridad de su objetivo y alcanzar sus metas. En el marco de trabajo ATT&CK hay once tácticas, pero alrededor de 300 técnicas que es necesario tener en cuenta.

Cada una de las técnicas de la base de conocimientos tiene información con contexto, como los permisos necesarios, qué plataforma suele tener la técnica y cómo detectar los comandos y procesos cuando se utilizan.

Inteligencia de amenazas

Se informa a las defensas en función de las posibles amenazas. Las técnicas también se priorizan en función de los rasgos comunes entre los grupos y el análisis de lagunas de las defensas actuales en comparación con las amenazas comunes.

Detección y análisis

Formación de equipos morados, fuentes de datos, pruebas, análisis personalizados y análisis fuera de banda (OOB).

Casos de uso de MITRE ATT&CK

Emulación del adversario

Comunicaciones al equipo azul, variación en los comportamientos del equipo rojo, emulación de adversarios basada en inteligencia de amenazas cibernéticas y pruebas de técnicas atómicas.

Evaluaciones e ingeniería

Evaluar las brechas de cobertura en función del uso real y priorizar la capacidad de mitigación y las inversiones, como la técnica única, mitigaciones y fidelidad a través de varias técnicas.

Un aspecto importante de ATT&CK es la forma en que incorpora la inteligencia de amenazas cibernéticas. ATT&CK documenta el comportamiento de los atacantes en función de los informes disponibles públicamente para indicar qué grupos utilizan qué técnicas. Lo habitual es que haya informes específicos que documenten un incidente o un solo grupo, pero ATT&CK se centra más en un tipo de actividad y una técnica, y después asocia a los atacantes y los grupos con la actividad; esto ayuda a los técnicos a centrarse en las técnicas más utilizadas.

En el mundo digital actual, la capacidad de una organización para prepararse ante un evento de seguridad, identificarlo, minimizarlo y recuperarse de él es fundamental para su éxito. Como tal, la respuesta a incidentes de seguridad reforzada por MITRE ATT&CK puede ayudarte a garantizar que tu empresa está preparada y que tiene acceso a recursos para desarrollar modelos y metodologías de amenazas avanzadas para luchar contra los ciberataques.

Al trabajar dentro del marco de trabajo MITRE ATT&CK, los equipos de seguridad pueden mejorar sus análisis y su respuesta a incidentes a medida que ocurren. Tendrán la capacidad de identificar con precisión los indicadores de compromiso y podrán priorizar amenazas específicas. Además, se mejorarán los flujos de trabajo automatizados gracias a tácticas esenciales y otros recursos extraídos del playbook de ATT&CK.

Primeros pasos con Security Incident Response

MITRE ATT&CK capacita a las empresas con los módulos Threat Intelligence y Security Incident Response para que puedan mejorar su respuesta ante incidentes y proteger activos valiosos.