MITRE ATT&CK frente a Cyber Kill Chain: ¿Cuál es la diferencia?

MITRE ATT&CK® y Cyber Kill Chain® son marcos para abordar los ciberataques contra una organización. Pero mientras que Cyber Kill Chain aborda el proceso de ciberataque desde un alto nivel con sus siete fases, MITRE ATT&CK contiene un ámbito de conocimiento más profundo que incluye detalles granulares sobre ciberataques, como técnicas y procedimientos de ataque, y enlaces a avisos del sector.
MITRE ATT&CK frente a Cyber Kill Chain

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento libre y abierta de información de ciberseguridad publicada por primera vez por MITRE Corporation en 2018. ATT&CK está diseñado para ayudar a los analistas de ciberseguridad y otras partes interesadas a obtener conocimientos de inteligencia sobre amenazas cibernéticas (CTI ) para planificar y diseñar programas de ciberseguridad y facilitar la comunicación al proporcionar un vocabulario de referencia común sobre ciberseguridad.

MITRE ATT&CK utiliza la perspectiva de Tácticas, Técnicas y Procedimientos (TTP) para organizar los conocimientos de ciberseguridad en un marco jerárquico. Cada Táctica contiene múltiples Técnicas, cada una de las cuales define un método estratégico para lograr el objetivo táctico. El nivel jerárquico más bajo del marco ATT&CK incluye Procedimientos detallados para cada Técnica, como herramientas, protocolos y cepas de malware observadas en ciberataques del mundo real. El nivel más bajo de información ATT&CK incluye conocimientos relacionados, como qué grupos adversarios se sabe que utilizan cada Técnica.

Tácticas ATT&CK de MITRE

  • Reconocimiento (empresa, ICS)
  • Desarrollo de recursos (empresa, ICS)
  • Acceso inicial
  • Ejecución
  • Persistencia
  • Escalada de privilegios
  • Defensa Evasión
  • Acceso a credenciales (empresa, móvil)
  • Descubrimiento
  • Movimiento lateral
  • Colección
  • Mando y control
  • Exfiltración (empresa, móvil)
  • Impacto 
  • Efectos de red (sólo móvil)
  • Efectos del servicio de red (sólo móvil)
  • Inhibir la función de respuesta (sólo ICS)
  • Deterioro del control de procesos (sólo ICS)

La Cyber Kill Chain es un marco de ciberataque desarrollado por Lockheed Martin y publicado en 2011. El término "Kill Chain" se adoptó del concepto militar tradicional, que lo define como el proceso de planificación y lanzamiento de un ataque.

Al igual que MITRE ATT&CK, la Cyber Kill Chain categoriza todos los comportamientos de ciberataque en tácticas secuenciales, desde el reconocimiento hasta la consecución de los objetivos. La Cyber Kill Chain también promueve la noción de que cada fase del ataque es una oportunidad para detenerlo "rompiendo la cadena asesina". La Cyber Kill Chain defiende que planificar y probar los controles de seguridad para cada fase identificada de un ataque dará como resultado una estrategia defensiva integral.

7 etapas de la cadena cibernética

  1. Reconocimiento
  2. Armatización
  3. Entrega
  4. Explotación
  5. Instalación
  6. Mando y control
  7. Acciones sobre los objetivos

Diferencias entre MITRE ATT&CK y Cyber Kill Chain

La Cyber Kill Chain es fundamentalmente diferente del marco MITRE ATT&CK en el sentido de que afirma que todos los ciberataques deben seguir una secuencia específica de tácticas de ataque para lograr el éxito - MITRE ATT&CK no hace tal afirmación. La Cyber Kill Chain es una secuencia elemental de etapas que componen un ciberataque, combinada con un axioma general de seguridad defensiva según el cual "romper" cualquier fase de la "cadena asesina" impedirá que un atacante alcance con éxito su objetivo. 

MITRE ATT&CK es más que una secuencia de tácticas de ataque. Es una profunda base de conocimientos que correlaciona información de ciberseguridad específica del entorno a lo largo de una jerarquía de Tácticas, Técnicas, Procedimientos y otros Conocimientos Comunes, como la atribución a grupos adversarios específicos.

¿Qué es mejor? ¿MITRE ATT&CK o Cyber Kill Chain?

Como introducción básica al comportamiento del ciberataque, la simplicidad de Cyber Kill Chain proporciona una comprensión básica del proceso del ciberataque y no debería abrumar a los nuevos alumnos. Pero su fuerza en este sentido es su debilidad en otro, ya que no proporciona una visión profunda de los procedimientos del atacante, lo que limita su utilidad.

Además, la Cyber Kill Chain es criticada a menudo por centrarse en la seguridad del perímetro, y es discutible si su axioma central -que impedir una etapa del proceso de un atacante desactivará el ataque- es un enfoque realista de la ciberseguridad. Un enfoque práctico de la ciberseguridad basado en el riesgo exige aplicar los recursos en función del riesgo contextual; un enfoque que intente evitar las brechas de seguridad dando prioridad a las primeras fases de un ataque es inadecuado.

El marco ATT&CK de MITRE representa una biblioteca más completa de comportamientos maliciosos (TTP y Conocimiento Común) y proporciona una biblioteca más profunda de Inteligencia sobre Ciberamenazas (CTI) procesable. Al tratarse de una base de conocimiento exhaustiva de información sobre ciberataques, ATT&CK sirve como lista de comprobación de las metodologías y objetivos de los atacantes, lo que justifica la inclusión de controles de seguridad y garantiza que estos controles sean exhaustivos y ofrezcan cierto grado de protección contra todos los aspectos de los ciberataques del mundo real.

ATT&CK es más útil para los cazadores de amenazas, los equipos rojos y quienes diseñan y aplican políticas y controles de seguridad, como los arquitectos y administradores de seguridad y redes. También puede normalizar la comunicación sobre ciberseguridad entre las partes interesadas al proporcionar un conjunto más completo de terminología y definiciones.

BlackBerryEl conjunto de soluciones de ciberseguridad de MITRE Cylance consiguió evitar al 100% las emulaciones de los ataques Wizard Spider y Sandworm en una fase muy temprana de la evaluación ATT&CK 2022 de MITRE, antes de que se produjera ningún daño. 

BlackBerry's CylancePROTECT® y CylanceOPTICS® proporcionaron detecciones exhaustivas de técnicas de ataque individuales con un alto nivel de confianza, lo que ayudó a reducir el despilfarro de recursos dedicados a perseguir falsos positivos.