Marco ATT&CK de MITRE

¿Qué es el marco ATT&CK de MITRE?

MITRE es una organización sin ánimo de lucro respaldada por el gobierno que lleva a cabo investigaciones sobre ciberseguridad financiadas con fondos federales para apoyar la seguridad informática defensiva en todos los sectores, incluidas las agencias gubernamentales y los contratistas de defensa. 

MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento gratuita y abierta de información de ciberseguridad publicada por primera vez en 2018. ATT&CK está diseñada para ayudar a los analistas de ciberseguridad y a otras personas a obtener conocimientos de inteligencia sobre ciberamenazas (CTI) para planificar y diseñar programas de ciberdefensa y facilitar la comunicación proporcionando un vocabulario de referencia común. 

Tácticas ATT&CK de MITRE

Matriz ATT&CK de MITRE

El marco completo ATT&CK de MITRE se divide en tres variantes principales, cada una de las cuales contiene un subconjunto de TTP que se aplica a entornos de TI específicos. Cada variante se conoce como "Matriz". 

Las tres Matrices principales del marco ATT&CK son la Matriz Empresarial, la Matriz Móvil y la Matriz ICS (Sistema de Control Industrial). Las Matrices Empresarial y Móvil se subdividen a su vez en submatrices filtradas para contener únicamente las Tácticas, Técnicas y Procedimientos (TTP) pertinentes para cada entorno.

Matriz ATT&CK para empresas

La Matriz ATT&CK Empresarial contiene 14 tácticas que se aplican a los ciberataques contra la infraestructura empresarial. La Matriz de la Empresa puede además limitarse a 7 submatrices. Estas submatrices se centran en actividades previas al ataque (matriz PRE), ataques contra sistemas operativos específicos (matrices Windows, Linux y macOS), ataques contra infraestructuras de red (matriz Network), ataques contra infraestructuras en la nube (matriz Cloud) y ataques contra contenedores (matriz Containers).

Matriz ATT&CK móvil

La Matriz ATT&CK Móvil contiene 14 Tácticas, pero difiere ligeramente de la Matriz Empresarial en que las tácticas "Reconocimiento" y "Desarrollo de recursos" se han sustituido por "Efectos de red" y "Efectos de servicio remoto." La matriz móvil se centra en los sistemas operativos móviles objetivo (iOS y Android). Las tácticas adicionales específicas para móviles destacan la posibilidad de interceptar y manipular datos en tránsito a través de conexiones WiFi y la capacidad de lograr objetivos comprometiendo aplicaciones y servicios móviles.

Sistemas de control industrial (ICS) Matriz ATT&CK

La matriz ICS ATT&CK contiene 12 tácticas aplicables a ciberataques contra ICS. No incluye las tácticas de "Acceso a credenciales" o "Exfiltración", pero en su lugar contiene dos tácticas únicas que no están en las matrices Enterprise o Mobile: "Inhibir la Función de Respuesta" e "Impedir el Control del Proceso". Las tácticas exclusivas de ICS incluyen actividades hostiles como la inhibición de funciones de seguridad, protección, garantía de calidad o intervención del operador, o el cambio de parámetros de configuración o firmware para perjudicar el control del proceso y causar daños a la infraestructura física.

Tácticas, técnicas y procedimientos ATT&CK

Una cibercampaña ofensiva completa consta de varias etapas y requiere combinar múltiples tácticas para lograr su objetivo. MITRE ATT&CK utiliza la perspectiva TTP para organizar los conocimientos de ciberseguridad en un marco jerárquico. Las tácticas son la categoría de más alto nivel en la jerarquía ATT&CK y corresponden a los objetivos específicos que los atacantes tratan de alcanzar en las distintas fases de un ataque. 

Tácticas ATT&CK

  • Reconocimiento (empresa, ICS)
  • Desarrollo de recursos (empresa, ICS)
  • Acceso inicial
  • Ejecución
  • Persistencia
  • Escalada de privilegios
  • Defensa Evasión
  • Acceso a credenciales (empresa, móvil)
  • Descubrimiento
  • Movimiento lateral
  • Colección
  • Mando y control
  • Exfiltración (empresa, móvil)
  • Impacto 
  • Efectos de red (sólo móvil)
  • Efectos del servicio de red (sólo móvil)
  • Inhibir la función de respuesta (sólo ICS)
  • Deterioro del control de procesos (sólo ICS)
Cada Táctica contiene múltiples Técnicas, cada una de las cuales define un método estratégico para lograr el objetivo táctico. El nivel jerárquico más bajo del marco ATT&CK incluye Procedimientos detallados para cada Técnica, como herramientas, protocolos y cepas de malware observadas en ciberataques del mundo real. El nivel más bajo de información ATT&CK también incluye otros conocimientos comunes, como qué grupos adversarios se sabe que utilizan cada Técnica.
MITRE D3FEND es una base de conocimientos -definida como un "gráfico de conocimientos" por MITRE- que sirve de biblioteca de contramedidas defensivas de ciberseguridad, componentes y sus asociaciones y capacidades. Es complementaria al marco ATT&CK de MITRE sobre Tácticas, Técnicas y Procedimientos (TTP) de los ciberdelincuentes.

La Cyber Kill Chain® es un marco de ciberataque publicado en 2011 por Lockheed Martin. Al igual que MITRE ATT&CK, Cyber Kill Chain clasifica todos los comportamientos de ciberataque en tácticas secuenciales.

7 etapas de la cibercadena asesina

  1. Reconocimiento
  2. Armatización
  3. Entrega 
  4. Explotación
  5. Instalación
  6. Mando y control
  7. Acciones sobre los objetivos

La Cyber Kill Chain es fundamentalmente diferente del marco MITRE ATT&CK en el sentido de que afirma que todos los ciberataques deben seguir una secuencia específica de tácticas para lograr el éxito; MITRE ATT&CK no hace tal afirmación. Otra diferencia entre los dos marcos es que la Cyber Kill Chain es esencialmente una secuencia de etapas que comprenden un ciberataque combinado con un axioma general de seguridad defensiva según el cual "romper" cualquier fase de la "cadena asesina" impedirá que un atacante logre con éxito su objetivo, y por lo tanto proporcionará protección al defensor. 

MITRE ATT&CK es mucho más que una secuencia de tácticas de ataque. Es una profunda base de conocimientos que correlaciona información de ciberseguridad específica del entorno a lo largo de una jerarquía de Tácticas, Técnicas, Procedimientos y otros Conocimientos Comunes, como la atribución a grupos adversarios específicos.

Cómo utilizar el marco ATT&CK de MITRE

Dado que ATT&CK incluye una perspectiva amplia de alto nivel e información granular de bajo nivel, los equipos de seguridad pueden utilizarlo para superar las lagunas de conocimiento entre los distintos objetivos de los ciberataques y la información de bajo nivel. Esto lo convierte en una poderosa herramienta para la educación en ciberseguridad y la planificación de programas de seguridad empresarial.

Casos de uso de MITRE ATT&CK

Los cazadores de amenazas, los equipos rojos y los defensores utilizan ATT&CK para obtener información sobre los ciberataques y un sistema de clasificación estándar que puede utilizarse como referencia para la comunicación entre las partes interesadas a la hora de desarrollar programas de ciberseguridad empresarial.

Al tratarse de una base de conocimientos exhaustiva de información sobre ciberataques, ATT&CK puede servir como lista de comprobación de objetivos y metodologías de ataque. Puede utilizar esta lista de comprobación para justificar la implantación de controles de seguridad, asegurándose de que son exhaustivos y ofrecen cierto grado de protección contra todos los elementos que componen los ciberataques del mundo real.

ATT&CK también puede ser utilizado por probadores de penetración, equipos rojos y probadores de productos de seguridad para emular ciberataques realistas. ATT&CK permite a los adversarios simulados comprender el panorama de los ataques y aplicar las mismas tácticas y técnicas que los atacantes del mundo real.

PREGUNTAS FRECUENTES

¿Qué significa MITRE ATT&CK?

ATT&CK son las siglas de Adversarial Tactics, Techniques, and Common Knowledge.

¿Qué es el marco ATT&CK de MITRE?

MITRE ATT&CK es una base de conocimientos gratuita y abierta de estrategias de ciberataque e información relacionada diseñada para ayudar a los analistas de ciberseguridad y otras partes interesadas a obtener información sobre ciberamenazas (CTI) y facilitar la comunicación sobre ciberseguridad ofensiva y defensiva.

¿Qué es la matriz ATT&CK de MITRE?

La Matriz ATT&CK de MITRE es un marco jerárquico de tácticas y técnicas de ataque que comprende los objetivos y estrategias individuales de los ciberdelincuentes. Existen tres matrices ATT&CK principales, cada una de ellas dirigida a entornos distintos: Empresa, Móvil y Sistemas de control industrial.

BlackBerryEl conjunto de soluciones de ciberseguridad de MITRE Cylance consiguió evitar al 100% las emulaciones de los ataques Wizard Spider y Sandworm en una fase muy temprana de la evaluación ATT&CK 2022 de MITRE, antes de que se produjera ningún daño. 

BlackBerry's CylancePROTECT® y CylanceOPTICS® proporcionaron detecciones exhaustivas de técnicas de ataque individuales con un alto nivel de confianza, lo que ayudó a reducir el despilfarro de recursos dedicados a perseguir falsos positivos.