MITRE ATT & CK son las siglas de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT & CK). El marco MITRE ATT & CK es una base de conocimientos y un modelo seleccionados para el comportamiento del adversario cibernético, que refleja las diversas fases del ciclo de vida del ataque de un adversario y las plataformas a las que se sabe que se dirigen.
La abstracción de tácticas y técnicas en el modelo proporciona una taxonomía común de acciones adversas individuales entendidas por los lados ofensivo y defensivo de la ciberseguridad. También proporciona un nivel apropiado de categorización para la acción del adversario y formas específicas de defenderse contra ella.
En esta publicación tienes todo lo que debes saber sobre el Marco MITRE ATT, qué es, para qué sirve y cómo implementarlo.
Indice
¿Qué es MITRE ATT&CK?
MITRE ATT & CK es una base de conocimiento accesible a nivel mundial de tácticas y técnicas adversas basadas en observaciones del mundo real de las amenazas a la seguridad cibernética . Se muestran en matrices organizadas por etapas de ataque, desde el acceso inicial al sistema hasta el robo de datos o el control de la máquina. Existen matrices para plataformas de escritorio comunes (Linux, macOS y Windows), así como para plataformas móviles.
ATT & CK significa tácticas, técnicas y conocimiento común contradictorios. Analicemos esto.
Tácticas y técnicas es una forma moderna de ver los ciberataques. En lugar de mirar los resultados de un ataque, también conocido como un indicador de compromiso (IoC) , los analistas de seguridad deben considerar las tácticas y técnicas que indican que un ataque está en progreso. Las tácticas son el por qué de una técnica de ataque. Las técnicas representan cómo un adversario logra un objetivo táctico al realizar una acción.
El conocimiento común es el uso documentado de tácticas y técnicas por parte de los adversarios. Esencialmente, el conocimiento común es la documentación de procedimientos. Aquellos familiarizados con la ciberseguridad pueden estar familiarizados con el término «tácticas, técnicas y procedimientos» o TTP.
El objetivo del marco es mejorar la detección posterior al compromiso de los adversarios en las empresas al ilustrar las acciones que puede haber tomado un atacante. ¿Cómo entró el atacante? ¿Cómo se mueven?
La base de conocimientos está diseñada para ayudar a responder aquellas preguntas que, al mismo tiempo, contribuyen a la conciencia de la postura de seguridad de una organización en el perímetro y más allá. Las organizaciones pueden usar el marco para identificar agujeros en las defensas y priorizarlos según el riesgo.
Los cazadores de amenazas pueden aprovechar el marco de ATT & CK para buscar técnicas específicas que los adversarios pueden usar junto con otros. El marco puede ser extremadamente útil para medir el nivel de visibilidad de un entorno contra ataques dirigidos con las herramientas existentes implementadas en los puntos finales y el perímetro de una organización.
Tácticas
La matriz MITRE ATT & CK contiene un conjunto de técnicas utilizadas por los adversarios para lograr un objetivo específico. Esos objetivos se clasifican como tácticas en la Matriz ATT & CK.
Los objetivos se presentan linealmente desde el punto de reconocimiento hasta la meta final de exfiltración o «impacto». En cuanto a la versión más amplia de ATT & CK para empresas, que incluye entornos Windows, MacOS, Linux, AWS, GCP, Azure, Azure AD, Office 365, SaaS y de red, se clasifican las siguientes tácticas adversas:
- Reconocimiento: recopilación de información para planificar futuras operaciones del adversario, es decir, información sobre la organización objetivo
- Desarrollo de recursos: establecer recursos para respaldar las operaciones, es decir, establecer una infraestructura de comando y control
- Acceso inicial: intentar ingresar a su red, es decir, spear phishing
- Ejecución: intentar ejecutar código malicioso, es decir, ejecutar una herramienta de acceso remoto
- Persistencia: tratar de mantener su punto de apoyo, es decir, cambiar configuraciones.
- Escalada de privilegios: intentar obtener permisos de nivel superior, es decir, aprovechar una vulnerabilidad para elevar el acceso
- Defense Evasion: tratar de evitar ser detectado, es decir, utilizar procesos confiables para ocultar malware
- Acceso a credenciales: robo de nombres y contraseñas de cuentas, es decir, registro de teclas
- Descubrimiento: tratar de descubrir su entorno, es decir, explorar lo que pueden controlar.
- Movimiento lateral: moverse a través de su entorno, es decir, usar credenciales legítimas para girar a través de múltiples sistemas
- Recopilación: recopilar datos de interés para el objetivo del adversario, es decir, acceder a los datos en el almacenamiento en la nube
- Comando y control: comunicarse con sistemas comprometidos para controlarlos, es decir, imitar el tráfico web normal para comunicarse con una red de víctimas
- Exfiltración: robar datos, es decir, transferir datos a una cuenta en la nube
Impacto: manipular, interrumpir o destruir sistemas y datos, es decir, cifrar datos con ransomware.
Técnicas
Dentro de cada táctica de la matriz MITRE ATT & CK hay técnicas de adversario, que describen la actividad real realizada por el adversario. Algunas técnicas tienen sub-técnicas que explican con mayor detalle cómo un adversario lleva a cabo una técnica específica.
Si bien solo hay 11 tácticas en el marco de Enterprise ATT & CK, hay decenas de técnicas, demasiadas para enumerarlas aquí.
Quizás se visualicen mejor a través de ATT & CK Navigator de MITRE , una ingeniosa aplicación web de código abierto que permite la navegación básica y la anotación de todas las matrices del marco. Las técnicas se mencionan en ATT & CK como Txxxx. El enlace de spearphishing es T1192, Remote Access Tools es T1219, y así sucesivamente.
Cada técnica contiene información contextual, como los permisos requeridos, en qué plataforma se ve comúnmente la técnica y cómo detectar comandos y procesos en los que se usan.
Aquí hay un ejemplo: no es raro que los atacantes se muevan lateralmente a través de las redes con herramientas legítimas de Windows como Windows Management Instrumentation (WMI). Una variedad del ransomware Petya aprovechó WMI (junto con PsExec, EternalBlue y EternalRomance) para extenderse lateralmente en 2017.
Un cazador de amenazas podría usar ATT & CK para observar las relaciones entre técnicas como WMI y otras que se pueden usar para recopilar datos para el descubrimiento y ejecución de archivos a través del movimiento lateral.
Al desplazarse hasta la sección «Detección» de la técnica, un cazador de amenazas puede aprender que pueden monitorizar el tráfico de red para las conexiones WMI, buscar el uso de WMI en entornos que normalmente no lo usan y realizar la monitorización de procesos para capturar la línea de comandos. argumentos de «wmic», para identificar la técnica.
¿Cómo se usa la matriz ATT & CK?
La matriz MITRE ATT & CK organiza visualmente todas las tácticas y técnicas conocidas en un formato fácil de entender. Las tácticas de ataque se muestran en la parte superior y las técnicas individuales se enumeran en cada columna.
Una secuencia de ataque implicaría al menos una técnica por táctica, y una secuencia de ataque completa se construiría moviéndose de izquierda (acceso inicial) a derecha (comando y control). Es posible utilizar múltiples técnicas para una táctica. Por ejemplo, un atacante podría probar tanto un archivo adjunto como un enlace en un exploit de spear phishing.
No es necesario que un atacante use las once tácticas en la parte superior de la matriz. Por el contrario, el atacante utilizará la cantidad mínima de tácticas para lograr su objetivo, ya que es más eficiente y ofrece menos posibilidades de descubrimiento.
Por ejemplo, el adversario realiza el Acceso inicial a las credenciales del asistente administrativo del CEO mediante un enlace de spear phishing entregado en un correo electrónico. Una vez que tengan las credenciales del administrador, el atacante buscará un sistema remoto en la etapa de descubrimiento.
Supongamos que buscan datos confidenciales en una carpeta de Dropbox a la que el administrador también tiene acceso, por lo que no es necesario escalar los privilegios. La recopilación, que es la última etapa, se realiza descargando archivos de Dropbox a la máquina del atacante.
Al usar análisis de comportamiento, un analista de seguridad puede detectar el ataque en proceso identificando el comportamiento anómalo del usuario.
Por ejemplo, digamos que el administrador hizo clic en un enlace en el que nadie en la empresa había hecho clic antes, luego el administrador accedió a una carpeta de Dropbox en particular en un momento inusual. Durante la etapa final del ataque, la computadora del atacante accedió a la carpeta de Dropbox por primera vez. Con el análisis de comportamiento, estas actividades se marcarían como comportamiento de usuario sospechoso.
¿Cuáles son los procedimientos del marco ATT & CK?
En lo que respecta a ATT & CK, un procedimiento describe la forma en que los adversarios o el software implementan una técnica.
Teniendo en cuenta el ejemplo de WMI, al navegar a la lista de técnicas de WMI, cualquiera puede ver que el popular grupo de hackers ruso APT29 usa WMI para robar credenciales y ejecutar puertas traseras en el futuro. BlackEnergy, un grupo de APT vinculado a los ataques a las empresas de energía ucranianas en 2015, mientras tanto, utiliza WMI para recopilar los detalles del host de las víctimas.
El procedimiento es una instancia particular de uso y puede ser muy útil para comprender exactamente cómo se usa la técnica y para la replicación de un incidente con la emulación del adversario y para obtener detalles sobre cómo detectar esa instancia en uso.
¿Cómo ayuda ATT & CK a compartir inteligencia sobre amenazas?
Si bien el marco ha existido durante años, últimamente se ha popularizado especialmente como una forma de ayudar a las organizaciones, los usuarios finales y el gobierno a compartir información sobre amenazas. Si bien ciertamente hay otras formas en los libros para compartir información sobre amenazas, ATT & CK proporciona un lenguaje común que está estandarizado y accesible a nivel mundial.
Los analistas y defensores pueden trabajar juntos con datos para comparar y contrastar grupos de amenazas. Los analistas pueden estructurar la inteligencia en torno al comportamiento, mientras que los defensores pueden estructurar la información en torno al comportamiento que pueden detectar y mitigar. Al identificar las técnicas de mayor prioridad, una organización puede determinar mejor cómo mitigarlas y detectarlas.
El hecho de que la base de conocimientos esté impulsada por la comunidad y sea ampliamente aceptada para compartir información estructurada también le ha dado un gran impulso.
¿A quién beneficia el marco?
ATT & CK puede ayudar tanto a los equipos rojos como a los azules. Los equipos rojos pueden seguir los planes de emulación de adversarios de MITRE para probar sus redes y defensas modelando el comportamiento del adversario clasificado por ATT & CK.
Las campañas basadas en ATT & CK pueden facilitar el seguimiento de los ataques, descifrar patrones y calificar la efectividad de las herramientas de defensa que ya existen.
Los equipos azules pueden aprovechar el marco de ATT & CK para controlar mejor lo que están haciendo los adversarios, priorizar las amenazas y garantizar que se implementen las mitigaciones adecuadas.
Implementar el marco MITRE ATT & CK
El marco MITRE ATT & CK se ha convertido ahora en una herramienta establecida para que los equipos de seguridad evalúen la postura de seguridad de la organización con respecto a atacantes y métodos de ataque específicos.
Con MITRE ATT & CK, los equipos pueden acceder a la inteligencia sobre amenazas desde la base de conocimientos constantemente actualizada para evaluar mejor su propia situación y, por lo tanto, asegurarse de que no se pasen por alto los elementos críticos de un ataque.
Una de las dificultades iniciales que enfrentan muchos equipos de TI al implementar el marco MITRE ATT & CK es la gran cantidad de técnicas diferentes y casos de uso que están disponibles.
Para no destrozarse los sesos por la implementación dada la multitud de opciones, primero debes centrarte en algunos casos de uso. Para identificar los casos de uso relevantes, es importante analizar la propia situación y establecer prioridades con respecto a datos concretos que sean relevantes para la propia empresa.
Lo que puede ser de gran ayuda aquí es una plataforma de inteligencia de amenazas dedicada (TIP). Dicha plataforma agrega automáticamente inteligencia sobre amenazas y ayuda a identificar y priorizar los flujos de datos e información que son más importantes para el usuario respectivo.
A continuación, presentamos dos casos de uso en los que un TIP ayuda a los equipos de seguridad a aprovechar al máximo el marco MITRE ATT & CK. Estamos hablando aquí de dos pilares de la seguridad informática moderna: el análisis de incidentes y la búsqueda y resolución de amenazas, la llamada búsqueda de amenazas.
Análisis de incidentes
Al analizar incidentes, es fundamental pensar de manera innovadora además de examinar la información recopilada en el terreno. Para comprender el panorama general de un ataque y evaluar cómo y por qué ocurrió, el incidente en cuestión debe ubicarse en relación con el perfil de riesgo individual de una organización, así como con la situación global en la ciberesfera.
Aquí es donde entra MITRE ATT & CK: los datos recopilados durante el análisis interno se pueden comparar y conectar con las campañas de ataque actuales y los actores de amenazas que utilizan el marco, dando contexto al incidente y ayudando así a comprender mejor por qué la organización en particular fue atacada y si podrían ocurrir más incidentes.
Los analistas de seguridad pueden utilizar los datos del marco como una fuente de referencia detallada para enriquecer su análisis de eventos y alertas, respaldar sus investigaciones y determinar las mejores acciones a tomar según la relevancia y los incidentes en su entorno.
Sin embargo, dado que el enriquecimiento manual de datos es propenso a errores, requiere mucho tiempo y es tedioso, un TIP puede remediarlo y liberar al equipo de seguridad.
Al automatizar la recopilación y agregación de datos del marco MITRE ATT & CK, los profesionales de seguridad ahorran tiempo, que luego se libera para tareas y análisis de nivel superior. Además, una solución de este tipo garantiza que no se pase por alto información importante al agregar inteligencia sobre amenazas.
Caza de amenazas
Un enfoque relativamente nuevo, pero extremadamente importante en la lucha contra las amenazas cibernéticas es la caza de amenazas. En esta área, los expertos en seguridad especializados trabajan con inteligencia de amenazas para buscar de manera proactiva las amenazas cibernéticas.
A partir de la información que recopilan, formulan hipótesis que utilizan para buscar y resolver amenazas, contribuyendo a la seguridad de las TI y las redes de la organización. Aquí, también, un TIP puede hacer un trabajo importante para acelerar y simplificar los procesos.
Después del análisis inicial de un incidente, los equipos de búsqueda de amenazas pueden pasar de buscar los llamados Indicadores de Compromiso (IoC) a utilizar la gama completa de datos de ATT & CK.
En lugar de centrarse en puntos de datos sospechosos individuales, los cazadores de amenazas pueden usar la plataforma para trabajar desde un punto de vista de nivel superior con información detallada sobre atacantes potenciales y reales y sus métodos. De esta forma, el equipo de seguridad puede adoptar un enfoque más proactivo, identificando primero el perfil de riesgo de la organización.
Los riesgos individuales se pueden asignar a atacantes específicos y sus tácticas, lo que luego permite a los cazadores de amenazas examinar más de cerca si se han identificado datos apropiados en el entorno que se investiga.
La utilidad del marco MITRE ATT & CK depende sobre todo de si se implementa de manera efectiva y si los gerentes de seguridad tienen la capacidad de agregar y analizar los datos de una manera simple.
Las organizaciones solo pueden hacer un buen uso del marco si pueden evaluar y comprender adecuadamente los casos de uso relevantes y la postura de seguridad individual de su organización. Para facilitar esto, existen tecnologías como las plataformas de inteligencia de amenazas que son capaces de respaldar a los equipos de operaciones de seguridad en todos los niveles de su trabajo.
Estas soluciones permiten una penetración más profunda en el marco de MITRE ATT & CK, optimizando así su eficacia y obteniendo un beneficio mucho mayor de la base de conocimientos.
¿Cómo se usa MITRE ATT & CK?
El marco MITRE ATT & CK puede ayudar a una organización de varias formas. En general, los siguientes son beneficios aplicables a la adopción de MITRE ATT & CK:
- Emulación de adversario: evalúa la seguridad aplicando inteligencia sobre un adversario y cómo operan para emular una amenaza. ATT & CK se puede utilizar para crear escenarios de emulación de adversarios para probar y verificar defensas.
- Red Teaming: actúa como un adversario para demostrar el impacto de una infracción. ATT & CK se puede utilizar para crear planes de equipo rojo y organizar operaciones.
- Desarrollo de análisis de comportamiento: vincula la actividad sospechosa para monitorizar la actividad del adversario. ATT & CK se puede utilizar para simplificar y organizar patrones de actividad sospechosa considerados maliciosos.
- Evaluación de brechas defensivas: determina qué partes de la empresa carecen de defensas y / o visibilidad. ATT & CK se puede utilizar para evaluar las herramientas existentes, o probar nuevas herramientas antes de la compra, para determinar la cobertura de seguridad y priorizar la inversión.
- Evaluación de madurez de SOC: similar a la evaluación de brechas defensivas, ATT & CK se puede usar para determinar qué tan efectivo es un centro de operaciones de seguridad (SOC) para detectar, analizar y responder a las brechas.
- Enriquecimiento de inteligencia de amenazas cibernéticas: mejora la información sobre amenazas y actores de amenazas. ATT & CK permite a los defensores evaluar si pueden defenderse contra amenazas persistentes avanzadas (ATP) específicas y comportamientos comunes en múltiples actores de amenazas.
La implementación de MITRE ATT & CK generalmente implica el mapeo manual o la integración con herramientas de ciberseguridad, las más comunes de las cuales son Security Information and Event Management (SIEM), Endpoint Detection and Response (EDR) y Cloud Access Security Broker (CASB).
El uso de MITRE ATT & CK con un SIEM implica agregar datos de registro de puntos finales, redes y servicios en la nube, identificar amenazas y asignarlas a MITRE ATT & CK. Luego, los cambios en la postura de seguridad se llevan a cabo en las herramientas de seguridad que proporcionan sus datos de registro.
El uso de MITRE ATT & CK con EDR implica mapear los eventos observados por el agente de punto final, lo que permite a los defensores determinar las fases de un evento de amenaza, evaluar el riesgo asociado y priorizar la respuesta.
El uso de MITRE ATT & CK con un CASB implica primero filtrar el comportamiento sospechoso y de amenaza de millones de eventos en la nube con User and Entity Behavior Analytics (UEBA), combinando esos eventos con DLP, incidentes de vulnerabilidad y configuración incorrecta, y mapeando a MITRE ATT & CK. Desde CASB, los defensores pueden ajustar la política de seguridad de la nube para bloquear el comportamiento del adversario.