¿Qué es el marco ATT&CK de MITRE?
MITRE es una organización sin ánimo de lucro respaldada por el gobierno que lleva a cabo investigaciones sobre ciberseguridad financiadas con fondos federales para apoyar la seguridad informática defensiva en todos los sectores, incluidas las agencias gubernamentales y los contratistas de defensa.
MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento gratuita y abierta de información de ciberseguridad publicada por primera vez en 2018. ATT&CK está diseñada para ayudar a los analistas de ciberseguridad y a otras personas a obtener conocimientos de inteligencia sobre ciberamenazas (CTI) para planificar y diseñar programas de ciberdefensa y facilitar la comunicación proporcionando un vocabulario de referencia común.
Matriz ATT&CK de MITRE
El marco completo ATT&CK de MITRE se divide en tres variantes principales, cada una de las cuales contiene un subconjunto de TTP que se aplica a entornos de TI específicos. Cada variante se conoce como "Matriz".
Las tres Matrices principales del marco ATT&CK son la Matriz Empresarial, la Matriz Móvil y la Matriz ICS (Sistema de Control Industrial). Las Matrices Empresarial y Móvil se subdividen a su vez en submatrices filtradas para contener únicamente las Tácticas, Técnicas y Procedimientos (TTP) pertinentes para cada entorno.
Matriz ATT&CK para empresas
Matriz ATT&CK móvil
Sistemas de control industrial (ICS) Matriz ATT&CK
Tácticas, técnicas y procedimientos ATT&CK
Tácticas ATT&CK
- Reconocimiento (empresa, ICS)
- Desarrollo de recursos (empresa, ICS)
- Acceso inicial
- Ejecución
- Persistencia
- Escalada de privilegios
- Defensa Evasión
- Acceso a credenciales (empresa, móvil)
- Descubrimiento
- Movimiento lateral
- Colección
- Mando y control
- Exfiltración (empresa, móvil)
- Impacto
- Efectos de red (sólo móvil)
- Efectos del servicio de red (sólo móvil)
- Inhibir la función de respuesta (sólo ICS)
- Deterioro del control de procesos (sólo ICS)
La Cyber Kill Chain® es un marco de ciberataque publicado en 2011 por Lockheed Martin. Al igual que MITRE ATT&CK, Cyber Kill Chain clasifica todos los comportamientos de ciberataque en tácticas secuenciales.
7 etapas de la cibercadena asesina
- Reconocimiento
- Armatización
- Entrega
- Explotación
- Instalación
- Mando y control
- Acciones sobre los objetivos
La Cyber Kill Chain es fundamentalmente diferente del marco MITRE ATT&CK en el sentido de que afirma que todos los ciberataques deben seguir una secuencia específica de tácticas para lograr el éxito; MITRE ATT&CK no hace tal afirmación. Otra diferencia entre los dos marcos es que la Cyber Kill Chain es esencialmente una secuencia de etapas que comprenden un ciberataque combinado con un axioma general de seguridad defensiva según el cual "romper" cualquier fase de la "cadena asesina" impedirá que un atacante logre con éxito su objetivo, y por lo tanto proporcionará protección al defensor.
MITRE ATT&CK es mucho más que una secuencia de tácticas de ataque. Es una profunda base de conocimientos que correlaciona información de ciberseguridad específica del entorno a lo largo de una jerarquía de Tácticas, Técnicas, Procedimientos y otros Conocimientos Comunes, como la atribución a grupos adversarios específicos.
Cómo utilizar el marco ATT&CK de MITRE
Casos de uso de MITRE ATT&CK
Los cazadores de amenazas, los equipos rojos y los defensores utilizan ATT&CK para obtener información sobre los ciberataques y un sistema de clasificación estándar que puede utilizarse como referencia para la comunicación entre las partes interesadas a la hora de desarrollar programas de ciberseguridad empresarial.
Al tratarse de una base de conocimientos exhaustiva de información sobre ciberataques, ATT&CK puede servir como lista de comprobación de objetivos y metodologías de ataque. Puede utilizar esta lista de comprobación para justificar la implantación de controles de seguridad, asegurándose de que son exhaustivos y ofrecen cierto grado de protección contra todos los elementos que componen los ciberataques del mundo real.
ATT&CK también puede ser utilizado por probadores de penetración, equipos rojos y probadores de productos de seguridad para emular ciberataques realistas. ATT&CK permite a los adversarios simulados comprender el panorama de los ataques y aplicar las mismas tácticas y técnicas que los atacantes del mundo real.
PREGUNTAS FRECUENTES
¿Qué significa MITRE ATT&CK?
ATT&CK son las siglas de Adversarial Tactics, Techniques, and Common Knowledge.
¿Qué es el marco ATT&CK de MITRE?
MITRE ATT&CK es una base de conocimientos gratuita y abierta de estrategias de ciberataque e información relacionada diseñada para ayudar a los analistas de ciberseguridad y otras partes interesadas a obtener información sobre ciberamenazas (CTI) y facilitar la comunicación sobre ciberseguridad ofensiva y defensiva.
¿Qué es la matriz ATT&CK de MITRE?
La Matriz ATT&CK de MITRE es un marco jerárquico de tácticas y técnicas de ataque que comprende los objetivos y estrategias individuales de los ciberdelincuentes. Existen tres matrices ATT&CK principales, cada una de ellas dirigida a entornos distintos: Empresa, Móvil y Sistemas de control industrial.
BlackBerryEl conjunto de soluciones de ciberseguridad de MITRE Cylance consiguió evitar al 100% las emulaciones de los ataques Wizard Spider y Sandworm en una fase muy temprana de la evaluación ATT&CK 2022 de MITRE, antes de que se produjera ningún daño.
BlackBerry's CylancePROTECT® y CylanceOPTICS® proporcionaron detecciones exhaustivas de técnicas de ataque individuales con un alto nivel de confianza, lo que ayudó a reducir el despilfarro de recursos dedicados a perseguir falsos positivos.