El marco MITRE ATT&CK (MITRE ATT&CK) es una base de conocimientos universalmente accesible y actualizada para modelar, detectar, prevenir y combatir las amenazas de ciberseguridad basadas en los comportamientos adversarios conocidos de los delincuentes cibernéticos ( ATT&CK en MITRE ATT&CK significa Tácticas Adversarias, Técnicas y Conocimientos Comunes).
MITRE ATT&CK cataloga tácticas, técnicas y procedimientos de delincuentes cibernéticos (TTP) a través de cada fase del ciclo de vida del ciberataque, desde la recopilación inicial de información y los comportamientos de planeación de un atacante hasta la ejecución definitiva del ataque. La información de MITRE ATT&CK puede ayudar a los equipos de seguridad a
simular con precisión ataques cibernéticos para probar las defensas cibernéticas
crear políticas de seguridad, controles de seguridad y planes de respuesta ante incidentes más eficaces
elegir y configurar tecnologías de seguridad para detectar, prevenir y mitigar mejor las ciberamenazas
Además, la taxonomía MITRE ATT&CK de tácticas, técnicas y subtécnicas adversarias (ver a continuación) establece un lenguaje común que los profesionales de la seguridad pueden usar para compartir información sobre las amenazas cibernéticas y colaborar en la prevención de amenazas.
MITRE ATT&CK no es software en sí. Pero muchas soluciones de software de seguridad empresarial, como análisis de comportamiento de usuarios y entidades (UEBA), detección y respuesta extendidas (XDR), orquestación de seguridad, automatización y respuesta (SOAR), y la información de seguridad y la gestión de eventos (SIEM)pueden integrar MITRE ATT&CK y la información de detección y de amenazas.
MITRE ATT&CK fue desarrollado por MITRE Corporation, una organización sin fines de lucro, y es mantenido por MITRE con aportes de una comunidad global de profesionales de la ciberseguridad.
MITRE ATT&CK organiza las tácticas y técnicas de adversario (y las subtécnicas) en matrices. Cada matriz incluye tácticas y técnicas correspondientes a ataques en dominios específicos:
La Matriz empresarial incluye todas las técnicas de adversario utilizadas en los ataques contra la infraestructura empresarial. Esta matriz incluye submatrices para las plataformas Windows, MacOS y Linux, así como también para la infraestructura de red, plataformas en la nube y tecnologías de contenedores. También incluye una matriz PRE de técnicas preparatorias utilizadas antes de un ataque.
La Matriz móvil incluye técnicas utilizadas en ataques directos en dispositivos móviles y en ataques móviles basados en red que no requieren acceso a un dispositivo móvil. Esta matriz incluye submatrices para las plataformas móviles iOS y Android.
La Matriz ICX incluye técnicas utilizadas en ataques a sistemas de control industrial, específicamente la maquinaria, dispositivos, sensores y redes utilizadas para controlar o automatizar operaciones para fábricas, servicios públicos, sistemas de transporte y otros proveedores de servicios críticos.
Cada táctica de MITRE ATT&CK representa un objetivo adversario específico, algo que el atacante quiere conseguir en un momento dado. Las tácticas de ATT&CK corresponden estrechamente a las etapas o fases de un ciberataque. Por ejemplo, las tácticas de ATT&CK cubiertas por la matriz empresarial incluyen:
Reconocimiento: recopilación de información para planificar un ataque
Desarrollo de recursos: establecimiento de recursos para apoyar las operaciones de ataque
Acceso inicial: penetrar en el sistema o red de destino
Ejecución: ejecución de malware o código malicioso en el sistema comprometido
Persistencia: mantener el acceso al sistema comprometido (en caso de apagado o reconfiguraciones)
Escalamiento de privilegios: obtener acceso o permisos de nivel superior (por ejemplo, pasar de acceso de usuario a administrador)
Evasión de defensa: evitar la detección una vez dentro de un sistema
Acceso a credenciales: robar nombres de usuario, contraseñas y otras credenciales de inicio de sesión
Descubrimiento: investigación del entorno de destino para saber a qué recursos se puede acceder o controlar para respaldar un ataque planificado
Movimiento lateral: obtener acceso a recursos adicionales dentro del sistema
Recopilación: recopilación de datos relacionados con el objetivo de ataque (por ejemplo, datos para cifrar o exfiltrar como parte de un ataque de ransomware)
Comando y control: wstablecer comunicaciones encubiertas/indetectables que permitan al atacante controlar el sistema
Exfiltración: robar datos del sistema
Impacto: interrumpir, dañar, deshabilitar o destruir datos o procesos de negocio.
Nuevamente, las tácticas y técnicas varían de una matriz a otra (y submatriz). Por ejemplo, la matriz móvil no incluye tácticas de reconocimiento y desarrollo de recursos, pero incluye otras tácticas, Efectos de red y Efectos de servicio remotos, no encontradas en la matriz empresarial.
Si las tácticas de MITRE ATT&CK representan qué quieren lograr los atacantes, las técnicas de MITRE ATT&CK representan cómo intentan lograrlo. Por ejemplo, el compromiso drive-by y el phishing son tipos de técnicas de acceso inicial; el uso de almacenamiento sin archivos es un ejemplo de técnica de evasión de defensa.
La base de conocimientos proporciona la siguiente información para cada técnica:
Una descripción y lineamientos generales de la técnica.
Cualquier subtécnica conocida asociada con la técnica. Por ejemplo, las subtécnicas de phishing incluyen archivos adjuntos spear phishing, enlace spear phishing y spear phishing a través del servicio. En esta escritura, MITRE ATT&CK documenta 196 técnicas individuales y 411 subtécnicas.
Ejemplos de procedimientos relacionados. Estos pueden incluir formas en que los grupos de ataque utilizan la técnica o los tipos de software malicioso utilizados para ejecutar la técnica.
Prácticas de mitigación de seguridad (por ejemplo, capacitación del usuario) o software (p. ej., software antivirus, sistemas de prevención de intrusiones) que pueden bloquear o abordar la técnica.
Métodos de detección. Por lo general, estos son datos de registro o fuentes de datos del sistema que los equipos de seguridad o el software de seguridad pueden monitorear en busca de evidencia de la técnica.
MITRE ATT&CK ofrece otras formas de ver y trabajar con la base de conocimientos. En lugar de investigar tácticas y técnicas específicas a través de las matrices, los usuarios pueden investigar según
Fuentes de datos, un índice de todos los datos de registro o fuentes de datos del sistema y componentes de datos que los equipos de seguridad o software de seguridad pueden supervisar para detectar pruebas de técnicas de ataque intentadas.
Mitigaciones: un índice de todas las mitigaciones a las que se hace referencia en la base de conocimiento. Los usuarios pueden profundizar para saber qué técnicas aborda una mitigación concreta.
Grupos: un índice de grupos adversarios y las tácticas y técnicas de ataque que emplean. Al momento de escribir este artículo, MITRE ATT&CK documentó 138 grupos.
Software. un índice de software o servicios maliciosos (740 en esta escritura) que los atacantes pueden utilizar para ejecutar técnicas específicas.
Campañas, esencialmente una base de datos de ciberataque o campañas de espionaje cibernético, incluida información sobre grupos que los lanzaron y cualquier técnica y software empleado.
MITRE ATT&CK Navigator es una herramienta de código abierto para buscar, filtrar, anotar y presentar datos desde la base de conocimientos. Los equipos de seguridad pueden utilizar MITRE ATT&CK Navigator para identificar y comparar rápidamente las tácticas y técnicas utilizadas por determinados grupos de amenazas, identificar el software utilizado para ejecutar una técnica específica, hacer coincidir las mitigaciones con técnicas específicas y mucho más.
ATT&CK Navigator puede exportar resultados en formato JSON, Excel o SVG (para presentaciones). Los equipos de seguridad pueden usarlo en línea (alojado en GitHub) o descargarlo en una computadora local.
MITRE ATT&CK admite una serie de actividades y tecnologías que las organizaciones utilizan para optimizar sus operaciones de seguridad y mejorar su postura general de seguridad.
Triaje de alertas; detección y respuesta a amenazas. La información de MITRE ATT&CK es extremadamente valiosa para examinar y priorizar la avalancha de alertas relacionadas con la seguridad generadas por software y dispositivos en una red empresarial típica. De hecho, muchas soluciones de seguridad empresarial, como SIEM (información de seguridad y administración de eventos), UEBA (análisis de comportamiento de usuarios y entidades), EDR (detección y respuesta de endpoints) y XDR (detección y respuesta extendidas), pueden ingerir información de MITRE ATT&CK y usarla para hacer triaje de alertas, enriquecer la inteligencia de amenazas cibernéticas de otras fuentes y activar manuales tácticos de respuesta a incidentes o respuestas automatizadas a amenazas.
Caza amenazas. La caza de amenazas es un ejercicio proactivo de seguridad en el que los analistas de seguridad buscan amenazas que han superado las medidas de ciberseguridad existentes. La información de MITRE ATT&CK sobre tácticas, técnicas y procedimientos de adversarios proporciona literalmente cientos de puntos para iniciar o continuar la caza de amenazas.
Equipo rojo/emulación de adversario. Los equipos de seguridad pueden usar la información en MITRE ATT&CK para simular ciberataques del mundo real. Estas simulaciones pueden probar la eficacia de las políticas, prácticas y soluciones de seguridad que tienen y ayudar a identificar las vulnerabilidades que deben abordarse.
Análisis de brecha de seguridad y evaluaciones de madurez de SOC. El análisis de brecha de seguridad compara las prácticas y tecnologías de ciberseguridad existentes de una organización con el estándar actual de la industria. Una evaluación de madurez de SOC evalúa la madurez del centro de operaciones de seguridad (SOC) de una organización en función de su capacidad para bloquear o mitigar constantemente las ciberamenazas o los ciberataques con una intervención mínima o manual. En cada caso, los datos de MITRE ATT&CK pueden ayudar a las organizaciones a realizar estas evaluaciones con los datos más recientes sobre tácticas, técnicas y mitigaciones de amenazas cibernéticas.
Al igual que MITRE ATT&CK, Cyber Kill Chain de Lockheed Martin modela los ciberataques como una serie de tácticas adversarias. Algunas de las tácticas incluso tienen los mismos nombres. Pero ahí termina la similitud.
Cyber Kill Chain es más un marco descriptivo que una base de conocimiento. Es mucho menos detallado que MITRE ATT&CK. Cubre solo siete (7) tácticas: reconocimiento, armamento, entrega, explotación, instalación, comando y control, acciones sobre objetivos,en comparación con las 18 de MITRE ATT&CK (incluidas tácticas móviles y solo ICS). No proporciona modelos discretos para ataques en plataformas móviles o ICS. Y no cataloga nada que se aproxime al nivel de información detallada sobre tácticas, técnicas y procedimientos de MITRE ATT&CK.
Otra distinción importante: Cyber Kill Chain se basa en el supuesto de que cualquier ciberataque debe implementar tácticas adversarias en secuencia para tener éxito, y que bloquear cualquiera de las tácticas "romperá la kill chain" e impedirá que el adversario logre su objetivo final. MITRE ATT&CK no adopta este enfoque; se centra en ayudar a los profesionales de la seguridad a identificar y bloquear o mitigar tácticas y técnicas adversas individuales en cualquier contexto en el que se encuentren.
Supere los ataques con una suite de seguridad conectada y modernizada. La cartera de QRadar está integrada con IA de nivel empresarial y ofrece productos integrados para seguridad de endpoints, administración de registros, SIEM y SOAR, todo con una interfaz de usuario común, información compartida y flujos de trabajo conectados.
La caza proactiva de amenazas, el monitoreo continuo y una investigación profunda de amenazas son solo algunas de las prioridades que enfrentan un departamento de TI ya ocupado. Tener un equipo de respuesta a incidentes confiable en espera puede reducir el tiempo de respuesta, minimizar el impacto de un ciberataque y ayudarle a recuperarse más rápido.
Para prevenir y combatir las amenazas modernas de ransomware, IBM utiliza información de 800 TB de datos de actividad de amenazas, información sobre más de 17 millones de ataques de spam y phishing, y datos de reputación de direcciones IP maliciosas de una red de 270 millones de puntos finales.
Los ataques cibernéticos son intentos no deseados de robar, exponer, alterar, deshabilitar o destruir información a través del acceso no autorizado a los sistemas informáticos.
La gestión de eventos e información de seguridad (SIEM) ofrece monitoreo y análisis en tiempo real de eventos, así como seguimiento y registro de datos de seguridad para fines de cumplimiento o auditoría.
La caza de amenazas es un enfoque proactivo para identificar amenazas desconocidas o continuas no reparadas dentro de la red de una organización.