La fundación sin ánimo de lucro MITRE presentó en 2013 MITRE ATT&CK (por sus siglas en inglés, Tácticas, Técnicas y Conocimiento Común de Adversarios), una base de conocimiento accesible a nivel mundial de tácticas y técnicas usadas por los atacantes informáticos basada en observaciones del mundo real.
Esta base de conocimientos se utiliza para el desarrollo de metodologías y modelos de amenazas específicos en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad. Y lo hace tanto para preparar las estrategias de protección, como la formación del personal interno dando visibilidad a las técnicas utilizadas activamente por los atacantes. Así puede asignar los recursos necesarios en prevención y respuesta a incidentes más críticos en cada organización y establecer una hoja de ruta ya que la plataforma organiza y categoriza los distintos tipos de ataques, amenazas y procedimientos realizados por los distintos atacantes y permite identificar vulnerabilidades en los sistemas informáticos.
MITRE ATT&CK está distribuido en diferentes matrices: Enterprise, Mobile y PRE-ATT&CK. Cada una de estas matrices contiene diversas tácticas y técnicas asociadas con el contenido de la matriz.
· PRE-ATT&CK contiene tácticas y técnicas relacionadas con lo que los atacantes hacen antes de intentar vulnerar una red o un sistema en particular. Alineándose de esa forma con las primeras tres fases de la cadena de ataque: reconocimiento y desarrollo de recursos.
· Enterprise se compone de técnicas y tácticas que se aplican a los sistemas Windows, MacOS, Linux, AWS, GCP, Azure, Azure AD, Office 365, Google Workspace, SaaS, IaaS, contenedores y entornos de red. Afectando principalmente a las cuatro fases finales de la cadena de ataque: explotación, instalación, comando & control y acciones en objetivos.
· Mobile contiene tácticas y técnicas que se aplican a los dispositivos móviles, tanto iOS como Android.
MITRE desarrolló por primera vez el marco ATT&CK como una forma estándar de documentar tácticas, técnicas y procedimientos adversarios (TTP) comunes en el mundo real, a imagen y semejanza de la descripción de operaciones militares. Luego, los equipos de seguridad aplican esta base de datos de información para ayudar a priorizar qué áreas de cobertura deben abordarse primero y descubrir brechas en los controles, procesos y herramientas de seguridad.
MITRE ATT&CK se utiliza en todo el mundo en múltiples disciplinas, como podrían ser la detección de intrusos, la búsqueda de amenazas
De esa forma la matriz queda ordenada a través de los títulos de las columnas en la parte superior donde podremos encontrar todas las técnicas utilizadas dentro de estas tácticas y sus procedimientos.
· Táctica: una táctica es una descripción de alto nivel de parte del ciclo de vida del ataque con detalles limitados sobre cómo el adversario lleva a cabo explícitamente una actividad. Por ejemplo, MITRE ATT&CK enumera doce tácticas empresariales diferentes que los atacantes pueden usar a lo largo de su ciclo de vida del ataque, como acceso inicial (TA0001), persistencia (TA0003), movimiento lateral (TA0008), comando y control (TA0011) y exfiltración (TA0010).
· Técnica: Una técnica es el término medio entre las consideraciones de alto nivel de las tácticas y los detalles específicos de los procedimientos. Dentro de cada táctica hay una lista de técnicas que los adversarios pueden usar para lograr el objetivo de la táctica. Por ejemplo, algunas técnicas de MITRE ATT&CK se pueden usar para el acceso inicial (TA0001), incluido un compromiso de paso (T1189), Fuerza Bruta (T1110), phishing a través del servicio (T1194),Spearphishing interno (T1534) o un compromiso en la cadena de suministro (T1195), tristemente de actualidad debido a vulnerabilidades como Log4shell.
· Procedimiento: Un procedimiento son los detalles específicos de cómo un adversario lleva a cabo una técnica para lograr una táctica. Por ejemplo, podemos ver que APT19 (G0073) usa un ataque de pozo de agua para realizar un compromiso de paso (T1189) y obtener acceso inicial (TA0001).
MITRE ATT&CK se utiliza en todo el mundo en múltiples disciplinas, como podrían ser la detección de intrusos, la búsqueda de amenazas, la ingeniería de seguridad, la inteligencia de amenazas, los “red teams”, la gestión de riesgos y la formación de los equipos de seguridad.
El conocimiento sobre amenazas cibernéticas es esencial en la capacidad de una organización para protegerse contra las amenazas modernas. Esta matriz incluye información sobre las herramientas, técnicas y procedimientos utilizados por cada uno de los grupos de actores de amenazas activos, permitiendo filtrar por los entornos más críticos y/o vulnerables de las compañías. Por lo tanto, el marco MITRE ATT&CK puede ayudar a una organización a hacer que la inteligencia de amenazas que dispone sea procesable y poder disponer de una hoja de ruta. Usando la información provista dentro del marco, una organización puede identificar comportamientos comunes a actores de amenazas particulares y determinar si sus defensas existentes son capaces de detectar y responder a los ataques de estos adversarios.
Por José Juan Díaz Pérez / Iberia SE – Barracuda Networks