El marco MITRE ATT&CK (MITRE ATT&CK) es una base de conocimientos universalmente accesible y continuamente actualizada para modelar, detectar, prevenir y combatir amenazas de ciberseguridad basándose en el comportamiento conocido de los ciberdelincuentes adversarios. (Las siglas ATT&CK de MITRE ATT&CK significan tácticas, técnicas y saber generalizado del adversario.)
MITRE ATT&CK cataloga las tácticas, técnicas y procedimientos (TTP) de los ciberdelincuentes en cada una de las fases del ciclo de vida de un ciberataque: desde la recopilación inicial de información y los comportamientos de planificación del atacante hasta la ejecución final del ataque.La información de MITRE ATT&CK puede ayudar a los equipos de seguridad
a simular con precisión ataques cibernéticos para poner a prueba las defensas cibernéticas
a crear políticas de seguridad, controles de seguridad y planes de respuesta ante incidentes más eficaces
a elegir y configurar tecnologías de seguridad para detectar, prevenir y mitigar mejor las ciberamenazas
Además, la taxonomía ATT&CK de MITRE sobre tácticas, técnicas y subtécnicas de los adversarios (véase más abajo) establece un lenguaje común que los profesionales de la seguridad pueden utilizar para compartir información sobre ciberamenazas y colaborar en la prevención de las mismas.
MITRE ATT&CK no es software por sí solo. Sin embargo, muchas soluciones de software de seguridad empresarial, como el análisis del comportamiento de usuarios y entidades (UEBA), la detección y respuesta extendidas (XDR), la orquestación, automatización y respuesta de seguridad (SOAR) y la gestión de eventos e información de seguridad (SIEM)pueden integrar la información sobre amenazas de MITRE ATT&CK para actualizar y mejorar sus capacidades de detección y respuesta ante amenazas.
MITRE ATT&CK fue desarrollado por MITRE Corporation, una organización sin ánimo de lucro, y es mantenido por MITRE con aportaciones de una comunidad global de profesionales de la ciberseguridad.
MITRE ATT&CK organiza las tácticas y técnicas (y subtécnicas) de adversario en matrices.Cada matriz incluye tácticas y técnicas correspondientes a ataques en dominios específicos:
La matriz empresarial incluye todas las técnicas de los adversarios utilizadas en los ataques contra la infraestructura de la empresa.Esta matriz incluye submatrices para las plataformas Windows, MacOS y Linux, así como para la infraestructura de red, las plataformas en la nube y las tecnologías de contenedores. También incluye una matriz PRE de técnicas preparatorias utilizadas antes de un ataque.
La matriz móvil incluye técnicas utilizadas en ataques directos a dispositivos móviles y en ataques móviles basados en la red que no requieren acceso a un dispositivo móvil.Esta matriz incluye submatrices para las plataformas móviles iOS y Android.
La Matriz ICX incluye técnicas utilizadas en ataques a sistemas de control industrial, en concreto la maquinaria, los dispositivos, los sensores y las redes que se utilizan para controlar o automatizar las operaciones de fábricas, empresas de servicios públicos, sistemas de transporte y otros proveedores de servicios críticos.
Cada táctica de MITRE ATT&CK representa un objetivo adversario específico, algo que el atacante quiere conseguir en un momento dado.Las tácticas ATT&CK se corresponden estrechamente con las etapas o fases de un ciberataque.Por ejemplo, las tácticas ATT&CK cubiertas por la matriz empresarial incluyen:
Reconocimiento: recopilación de información para planificar un ataque
Desarrollo de recursos: establecer recursos para apoyar las operaciones de ataque
Acceso inicial: penetrar en el sistema o red de destino
Ejecución: ejecutar malware o código malicioso en el sistema comprometido
Persistencia: mantener el acceso al sistema comprometido (en caso de cierre o reconfiguraciones)
Aumento de privilegios: obtener acceso o permisos de nivel superior (por ejemplo, pasar del acceso de usuario al de administrador)
Evasión de defensa: evitar la detección una vez dentro de un sistema
Acceso a credenciales: robar nombres de usuario, contraseñas y otras credenciales de inicio de sesión
Descubrimiento: investigar el entorno objetivo para saber qué recursos son accesibles o controlables durante un ataque planificado
Movimiento lateral: obtener acceso a recursos adicionales dentro del sistema
Recopilación: recopilar datos relacionados con el objetivo del ataque (p. ej., datos para cifrar y/o exfiltrar como parte de un ataque de ransomware)
Comando y control: establecer comunicaciones encubiertas/indetectables que permitan al atacante controlar el sistema
Exfiltración: robar datos del sistema
Impacto: interrupción, corrupción, desactivación o destrucción de datos o procesos empresariales.
De nuevo, las tácticas y técnicas varían de matriz a matriz (y submatriz). Por ejemplo, la Matriz Móvil no incluye las tácticas de Reconocimiento y Desarrollo de Recursos, pero incluye otras tácticas (efectos de red y efectos de servicio remoto) que no se encuentran en la matriz empresarial.
Si las tácticas MITRE ATT & CK representan lo que los atacantes quieren lograr, las técnicas MITRE ATT&CK representan la forma en que intentan lograrlo. Por ejemplo, el compromiso oculto y el spear phishing son tipos de técnicas de acceso inicial. El uso de almacenamiento sin archivos es un ejemplo de técnica de evasión de la defensa.
La base de conocimientos proporciona la siguiente información para cada técnica:
Descripción y visión general de la técnica.
Cualquier subtécnica conocida asociada con la técnica. Por ejemplo, entre las subtécnicas de phishing se incluyen el spear phishing por archivo adjunto, el spear phishing por enlace y el spear phishing a través de un servicio.En este escrito, MITRE ATT&CK documenta 196 técnicas individuales y 411 subtécnicas.
Ejemplos de procedimientos relacionados. Estos pueden incluir formas en que los grupos de ataque utilizan la técnica, o tipos de software malicioso utilizados para ejecutar la técnica.
Mitigaciones: prácticas de seguridad (p. ej., formación de usuarios) o software (por ejemplo, software antivirus, sistemas de prevención de intrusiones) que pueden bloquear o abordar la técnica.
Métodos de detección. Normalmente se trata de datos de registro o fuentes de datos del sistema que los equipos de seguridad o el software de seguridad pueden supervisar en busca de pruebas de la técnica.
MITRE ATT&CK ofrece otras formas de ver y trabajar con la base de conocimientos. En lugar de investigar tácticas y técnicas específicas a través de las matrices, los usuarios pueden investigar basándose en
Fuentes de datos: Un índice de todos los datos de registro o fuentes de datos del sistema y componentes de datos que los equipos de seguridad o el software de seguridad pueden supervisar en busca de pruebas de intentos de técnicas de ataque.
Mitigaciones: Un índice de todas las mitigaciones a las que se hace referencia en la base de conocimientos. Los usuarios pueden profundizar para saber qué técnicas aborda una mitigación concreta.
Grupos: Un índice de grupos adversarios y las tácticas y técnicas de ataque que emplean. En el momento de escribir este artículo, MITRE ATT&CK documentó 138 grupos.
Software: Un índice del software o los servicios maliciosos (740 en el momento de escribir este artículo) que los atacantes pueden utilizar para ejecutar determinadas técnicas.
Campañas: Básicamente, una base de datos de campañas de ciberataque o ciberespionaje, que incluye información sobre los grupos que las lanzaron y las técnicas y programas informáticos empleados.
MITRE ATT&CK Navigator es una herramienta de código abierto para buscar, filtrar, anotar y presentar datos desde la base de conocimientos. Los equipos de seguridad pueden utilizarlo para identificar y comparar rápidamente las tácticas y técnicas utilizadas por determinados grupos de amenazas, identificar el software utilizado para ejecutar una técnica específica, adecuar las mitigaciones a técnicas específicas, etc.
ATT&CK Navigator puede exportar resultados en formato gráfico JSON, Excel o SVG (para presentaciones). Los equipos de seguridad pueden usarlo en línea (alojado en GitHub) o descargarlo en un ordenador local.
MITRE ATT&CK da soporte a una serie de actividades y tecnologías que las organizaciones utilizan para optimizar sus operaciones de seguridad y mejorar su postura general de seguridad.
Triaje de alertas; detección y respuesta a amenazas. La información de MITRE ATT&CK es extremadamente valiosa para cribar y priorizar el diluvio de alertas relacionadas con la seguridad generadas por el software y los dispositivos de una red empresarial típica.De hecho, muchas soluciones de seguridad empresarial, como SIEM (gestión de información y eventos de seguridad), UEBA (análisis del comportamiento de usuarios y entidades), EDR (detección y respuesta de puntos finales) y XDR (detección y respuesta extendidas), pueden ingerir información de MITRE ATT&CK y utilizarla para clasificar alertas, enriquecer la inteligencia sobre ciberamenazas procedente de otras fuentes y activar guías de respuesta a incidentes o respuestas automatizadas a amenazas.
Búsqueda de amenazas. La búsqueda de amenazas es un ejercicio de ciberseguridad en el que los analistas de seguridad buscan en su red amenazas que hayan eludido las medidas de ciberseguridad existentes. La información de MITRE ATT&CK sobre tácticas, técnicas y procedimientos de los adversarios proporciona literalmente cientos de puntos para iniciar o continuar la caza de amenazas.
Equipo rojo/emulación de adversario. Los equipos de seguridad pueden utilizar la información de MITRE ATT&CK para simular ciberataques reales. Estas simulaciones pueden poner a prueba la eficacia de las políticas, prácticas y soluciones de seguridad que tienen implantadas, y ayudar a identificar las vulnerabilidades que deben abordarse.
Análisis de vulnerabilidades de seguridad y evaluaciones de madurez de SOC. El análisis de las vulnerabilidades de seguridad compara las prácticas y tecnologías de ciberseguridad existentes en una organización con las normas actuales del sector.Una evaluación de la madurez del SOC evalúa la madurez del centro de operaciones de seguridad (SOC) de una organización en función de su capacidad para bloquear o mitigar sistemáticamente las ciberamenazas o los ciberataques con una intervención manual mínima o nula.En cada caso, los datos de MITRE ATT&CK pueden ayudar a las organizaciones a realizar estas evaluaciones utilizando los datos más recientes sobre tácticas, técnicas y mitigaciones de ciberamenazas.
Al igual que MITRE ATT&CK, Cyber Kill Chain de Lockheed Martin modela los ciberataques como una serie de tácticas de adversario.Algunas de las tácticas incluso tienen los mismos nombres. Pero ahí acaba la similitud.
Cyber Kill Chain es más un marco descriptivo que una base de conocimientos. Es mucho menos detallado que MITRE ATT&CK. Cubre solo siete (7) tácticas: reconocimiento, armamento, entrega, explotación, instalación, comando y control, acciones sobre objetivos,en comparación con las 18 de MITRE ATT&CK (incluidas tácticas móviles y solo ICS). No proporciona modelos discretos para ataques en plataformas móviles o ICS. Y no cataloga nada que se aproxime al nivel de información detallada sobre tácticas, técnicas y procedimientos de MITRE ATT&CK.
Otra distinción importante: Cyber Kill Chain se basa en el supuesto de que cualquier ciberataque debecumplir las tácticas de adversario en secuencia para tener éxito, y que el bloqueo de cualquiera de las tácticas "romperá la cadena de ataque" y frustrará al adversario de lograr su objetivo final.MITRE ATT&CK no adopta este enfoque; se centra en ayudar a los profesionales de la seguridad a identificar y bloquear o mitigar las tácticas y técnicas individuales de los adversarios en cualquier contexto en el que se encuentren.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de puntos finales, gestión de registros, SIEM y SOAR, todo ello con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La caza proactiva de amenazas, la supervisión continua y la investigación en profundidad de las mismas son sólo algunas de las prioridades a las que se enfrenta un departamento de TI ya de por sí muy ocupado. Contar con un equipo de respuesta a incidentes de confianza puede reducir su tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápidamente.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza información de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing y datos de reputación sobre casi 1 millón de direcciones IP maliciosas de una red de 270 millones de puntos finales.
Los ciberataques son intentos no deseados de robar, exponer, alterar, inutilizar o destruir información mediante el acceso no autorizado a sistemas informáticos.
La gestión de eventos e información de seguridad (SIEM) ofrece supervisión y análisis de eventos en tiempo real, así como seguimiento y registro de datos de seguridad con fines de cumplimiento o auditoría.
La caza de amenazas es un enfoque proactivo para identificar amenazas desconocidas o en curso no remediadas dentro de la red de una organización.