¿Qué es el marco MITRE ATT&CK4? Cómo comenzar con ATT&CK

MITRE ATT&CK® es un marco para la defensa cibernética informada por amenazas y una base de conocimiento público de tácticas, técnicas y procedimientos (TTPs) adversarios basados en ejemplos reales observados en el mundo. También incluye una gran cantidad de metadatos como posibles detecciones, mitigaciones, fuentes de datos, plataformas, requisitos del sistema, grupos asociados, referencias, y más. El contenido de ATT&CK se publica en línea y generalmente se actualiza de 2 a 3 veces al año. 

Los practicantes de ciberseguridad utilizan una metodología de mapeo de ciertas piezas de información (código, inteligencia, investigación) a los TTPs de MITRE ATT&CK para facilitar el análisis de amenazas, la detección y la respuesta. Es posible hacer eso con la ayuda de herramientas gratuitas que están disponibles en GitHub. Familiarizarse con ATT&CK ayuda a fortalecer la postura de ciberseguridad de una organización. Por ejemplo, podrías implementar nuevos sensores de dispositivos, obteniendo mayor visibilidad porque de otra manera no podrías rastrear la mayoría de los TTPs en absoluto. 

ATT&CK también promueve el concepto de defensa cibernética colaborativa. ¿Por qué es importante la colaboración? Volvamos en el tiempo un poco. Robert C. Martin describió un “comportamiento muy extraño” de Log4j en su libro “Código Limpio.” ¡Eso fue en 2008! ¿Te imaginas si hubiésemos tenido MITRE ATT&CK hace 14 años? ¿Habríamos tenido todo el drama de Log4j en 2022? 

MITRE ATT&CK y Detección de Amenazas Comportamentales

Cuando se trata de operaciones de seguridad, la detección de amenazas comportamentales se convirtió en un cambio de juego. ATT&CK es como una base de datos de diferentes comportamientos de adversarios que es “bueno conocer” para detectar ciertos ataques. Por ejemplo, si un malware viene con un empaquetador, puede re-encriptarse cientos de veces, por lo que buscar un hash particular es menos razonable. En su lugar, si vemos un comportamiento como ejecutar un comando para agregar un script de inicio de sesión como valor del registro, podemos encontrar este comportamiento en los registros mediante la creación de una consulta de búsqueda personalizada. Algo como:

(index=__your_sysmon_index__ EventCode=1 Image=»C:\Windows\System32\reg.exe» CommandLine=»*add*\Environment*UserInitMprLogonScript») OR (index=__your_sysmon_index__ (EventCode=12 OR EventCode=14 OR EventCode=13) TargetObject=»*\Environment*UserInitMprLogonScript»)

(Fuente: CAR)

Usar un enfoque comportamental da a los analistas SOC más flexibilidad y precisión. Mientras puedan encontrar el comportamiento, no importa en qué archivo ocurra y si es un archivo en absoluto (por ejemplo, llamada API).

¿Qué es MITRE?

Aunque ATT&CK en sí es una marca registrada, MITRE es una organización sin fines de lucro con sede en EE. UU., con una subsidiaria sin fines de lucro MITRE Engenuity. 

Con una historia previa de interesantes proyectos de la Fuerza Aérea, MITRE actualmente gestiona centros de I+D financiados con fondos federales. Además del marco de ATT&CK, han lanzado varias iniciativas útiles en el dominio de la ciberseguridad:

• MITRE Engenuity fundación y su Centro para la Defensa Informada por Amenazas (23 miembros ‘grandes jugadores’)
• Repositorio de Análisis Cibernético de MITRE
• Centro de Investigación y Desarrollo en Ciberseguridad Nacional Financiado con Fondos Federales (NCF) patrocinado por NIST
• Programa CVE®
• Lista CWE™

Ahora que hemos comprendido qué es el marco MITRE ATT&CK, revisemos sus componentes fundamentales y cómo usarlos.

¿Qué hay en la Matriz ATT&CK?

MITRE ATT&CK tiene algunas matrices. Una matriz es una representación visual de tácticas y técnicas que se aplican a una arquitectura técnica específica. A continuación, verás una lista completa de matrices (en el momento de la publicación) con enlaces a sus respectivas versiones online. Tenga en cuenta que las matrices se desarrollan y actualizan continuamente:

• Matriz Enterprise

• • • Pre-Comprometido
    • Windows
    • macOS
    • Linux
    • Cloud
      • Office 365
      • Azure AD
      • Google Workspace
      • SaaS
      • IaaS
    • Red
    • Contenedores

• Matriz Móvil

• • • Android
    • iOS

• Sistemas de Control Industrial (ICS) Matriz

Cada matriz se puede editar localmente usando una herramienta MITRE Navigator . Los equipos SOC la usan para mapear detecciones y mitigaciones a los TTPs para fines de análisis, operaciones de seguridad y gestión. 

La matriz MITRE ATT&CK brinda una visión instantánea de todos los TTPs que se han observado en un dominio tecnológico particular. Entonces, en lugar de pasar por un proceso largo y tedioso de buscar qué ataques se han aprovechado en la Nube, simplemente abre una matriz de Nube y míralos en una sola pantalla. No es como si los TTPs no mostrados en la matriz en particular nunca sucedieran en la plataforma dada. Por ejemplo, toda la táctica de Reconocimiento pertenece a la matriz PRE (pre-compromiso), pero puede ocurrir en diferentes tipos de software, firmware, y hardware.

ATT&CK vs. Cyber Kill Chain

Cuando se trata de alternativas a MITRE ATT&CK, otro marco ampliamente discutido es el Cyber Kill Chain® por Lockheed Martin.

Lockheed Martin es una corporación global que se especializa en la defensa y la manufactura espacial. También manejan el desarrollo y la implementación de software e infraestructuras DevSecOps en agencias gubernamentales.

Cyber Kill Chain es una secuencia de pasos que los adversarios necesitan tomar para realizar un ciberataque exitoso. Este marco es parte del modelo Intelligence Driven Defense® (IDD) diseñado para gestionar la prevención, detección y respuesta a amenazas. 

Cyber Kill Chain se ve así:

Sin embargo, el modelo Cyber Kill Chain ha sido criticado por estar basado en malware y en el perímetro. Además, implica una táctica lineal donde un atacante va directamente de A a Z. En la vida real, la mayoría de los ataques no son necesariamente lineales. Por eso Paul Pols desarrolló una Cadena de Matanza Unificada con 18 Tácticas. En resumen, parece un modelo de amenaza “ATT&CK se encuentra con CKC”:

Entonces, ¿cuál elegir? 

Lockheed Martin propuso un enfoque interesante de defensa por ofensiva, que sugiere cómo defender tácticamente en cada etapa de la cadena de matar. Mientras tanto, MITRE hizo de su marco una herramienta tangible y “viva” que puede integrarse en el flujo de trabajo de ciberseguridad. Agregan algunas detecciones y mitigaciones técnicas vagas, pero no tienen la libertad de sugerir el enfoque general de defensa. 

Además, mientras ATT&CK proporciona explicaciones muy detalladas de los detalles técnicos, la Cadena de Matanza Unificada intenta abarcar una visión estratégica de los objetivos socio-técnicos de los adversarios. 

En cuanto a las 18 Tácticas frente a 14, parece que la mayoría de ellas se superponen. Por ejemplo, la Ingeniería Social en forma de Spearphishing está cubierta en la Táctica de Reconocimiento de ATT&CK. Y el Pivoting está cubierto en T1572, Tunneling de Protocolo.

Quizás, sería mejor seguir las actualizaciones de ambos marcos para poder cubrir el mayor rango posible de amenazas cibernéticas. Idealmente, un equipo SOC debería apuntar a cubrir tres niveles de defensa: operacional, táctico y estratégico.

¿Qué son las Tácticas de MITRE ATT&CK?

Las tácticas son las categorías de más alto nivel del marco MITRE ATT&CK que representan los objetivos de los atacantes cibernéticos y responden a la pregunta “why.” En el momento de escribir este artículo, la edición más reciente es vol. 11 (emitida en abril de 2022), que incluye 14 tácticas en 3 dominios: Enterprise, Móvil e ICS.

¿Qué son las Técnicas de MITRE ATT&CK y cuántas hay?

Cada Táctica consiste en múltiples Técnicas. La versión actual de ATT&CK comprende 191 Técnicas que responden a la pregunta de “how” para lograr el objetivo táctico. Estas son acciones particulares como Manipulación de Token de Acceso, Ocultar Artefactos, etc. Una Técnica puede pertenecer a más de una Táctica. Por ejemplo, la Técnica de Modificación de Políticas de Dominio puede referirse tanto a las Tácticas de Evasión de Defensa como a las de Escalamiento de Privilegios. Verás estas relaciones en una ventana superior derecha en una página de Técnica. También verás allí muchos metadatos útiles, como permisos requeridos, defensa eludida, historial de versiones, colaborador, mitigaciones, detecciones y referencias.

¿Qué son las Sub-Técnicas de MITRE ATT&CK?

Las Sub-Técnicas (385 en v.11) son partes más pequeñas de las Técnicas que describen diferentes maneras de ejecutar esas Técnicas. Son incluso más precisas que las Técnicas e incluyen detalles técnicos de bajo nivel. Las Sub-Técnicas se enumeran como sub-categorías de Técnicas con dependencias directas. Por ejemplo, una Sub-Técnica T1548.003 Sudo y Sudo Catching es parte de la Técnica T1548, Mecanismo de Control de Elevación de Abuso.

¿Qué son los Procedimientos de MITRE ATT&CK?

En las páginas de Sub-Técnicas, verás Ejemplos de Procedimientos con referencias a tipos de malware y grupos cibercriminales. Tenga en cuenta que los tipos de malware y los grupos de ciberataque se enumeran, y cada uno de ellos tiene su propio ID, mientras que los Procedimientos no tienen sus IDs.

Los Procedimientos describen casos particulares de implementaciones de Sub-Técnicas que se observaron en ataques reales. Cada Procedimiento puede pertenecer a más de una Sub-Técnica/Técnica ya que es un caso específico de ejecución de malware en el mundo. 

¿Cómo Usar ATT&CK?

MITRE ATT&CK puede ser utilizado por un equipo SOC en varias instancias:

• Controles Técnicos
  • Inteligencia de Amenazas Cibernéticas
  • Monitoreo de Seguridad
  • Caza de Amenazas
  • Pruebas de Penetración
  • Detección de Amenazas
  • Análisis de Malware
  • Análisis de Composición de Software
• Controles Administrativos
  • GRC
  • Presupuesto
  • Mejora Continua

El enfoque informado por amenazas, aprovechado por ATT&CK, da un contexto muy necesario a los eventos que están sucediendo en la red de la empresa. Simplemente, es útil en los tres principales etapas: antes del ataque (defensa proactiva, gestión de riesgos), durante el ataque (detección y respuesta) y después del ataque (recuperación, informes). Por supuesto, aquí podrías no estar de acuerdo: ¿qué pasa si nuestra organización nunca ha sido atacada antes? ¿Es necesario implementar ATT&CK en todos esos niveles?

La verdad es, incluso si todas las defensas de múltiples capas necesarias están en su lugar, siempre hay un riesgo residual. Así que la evaluación de riesgos y la política deben ir primero y definir un rango de controles de ciberseguridad relevantes. La buena noticia es que ATT&CK se integra sin problemas en varios tipos de software cibernético a nivel empresarial para que los equipos SOC puedan integrar algunos puntos de la lista anterior dentro de una sola solución.

Aquí está la lista de herramientas útiles para ATT&CK y más allá, creadas por MITRE:

• ATT&CK Navigator
• Herramientas ATT&CK Python
• Banco de Trabajo ATT&CK
• CALDERA™ Plataforma de Emulación de Adversarios
• CASCADE servidor
• repositorios de GitHub: 
  • MITRE 
  • ATT&CK 
  • CTID

Explorar el Motor de Búsqueda de Amenazas Cibernéticas para encontrar instantáneamente información detallada sobre las amenazas cibernéticas, incluido el contexto CTI y referencias completas de MITRE ATT&CK. Haz clic en el Explorar Contexto de Amenazas botón a continuación para ver los resultados de búsqueda de CVEs, APTs y exploits de tendencia enriquecidos con metadatos contextuales y acompañados por reglas Sigma relevantes.

Explorar Contexto de Amenazas 

En un nivel estratégico, los marcos como ATT&CK ayudan a avanzar hacia la consecución de una postura de ciberseguridad más resistente mientras las organizaciones intentan resistir la creciente presión de los ataques APT y sus objetivos socioeconómicos maliciosos. El análisis estructurado y el enfoque informado por amenazas proporcionan información valiosa para una mejora continua o el reajuste de las estrategias de defensa cibernética.

Iniciativas de MITRE Engenuity

MITRE ATT&CK es un marco en constante crecimiento. Entonces, ¿cómo evolucionan? Con la MITRE Engenuity fundación sin fines de lucro, la evolución de ATT&CK va más allá de un estudio pasivo de la investigación de amenazas abiertamente pública. Engenuity trabaja con el sector privado y ya tiene 23 miembros empresariales de alto perfil.

Hace aproximadamente dos años, la fundación lanzó un Centro para la Defensa Informada por Amenazas, que alberga una serie regular de sprints de equipo púrpura llamados Evaluaciones ATT&CK. El proyecto proporciona planes de emulación descargables gratuitos en GitHub. Cada organización realiza su propia emulación y análisis de una amenaza dada (MITRE Engenuity no clasifica los resultados de ninguna manera). Los resultados de la investigación de cada participante se publican en este sitio web. 

La cuestión es que cada Técnica puede ser ejecutada por los atacantes en múltiples Procedimientos, y a su vez, cada Procedimiento puede emplear una mezcla personalizada de Técnicas. Cada actor puede también alterar sus procedimientos en respuesta a nuevas detecciones. Por eso diferentes proveedores que realizan la misma investigación en sus propios entornos aportan toneladas de información valiosa.

Otra iniciativa interesante de MITRE Engenuity es el MITRE ATT&CK Defender™ (MAD) programa de capacitación y certificación. Solo hay una tarifa que desbloquea un año de acceso completo a un Centro de Habilidades MAD. MAD alienta a los profesionales de seguridad a actualizar continuamente sus habilidades para combatir amenazas emergentes. Es por eso que su formación bajo demanda y en vivo presenta oportunidades de aprendizaje nuevas regularmente. Por lo tanto, si ganaste una insignia una vez, necesitarás renovarla tan pronto como cambie el panorama de amenazas. 

Preguntas Frecuentes: El Marco ATT&CK y la Plataforma de Detección como Código de SOC Prime

Cubrámos rápidamente algunas preguntas sobre el uso de ATT&CK con la plataforma SOC Prime.

¿Por qué debería usar los TTPs de ATT&CK en la Plataforma de Detección como Código de SOC Prime?

Mapear esfuerzos de ciberseguridad a ATT&CK ayuda a cubrir el mayor rango de amenazas posibles en el menor tiempo posible. Y no es un secreto que tanto el equipo azul como los miembros del equipo rojo tienen mucho en sus platos. Mapeo a ATT&CK y análisis de los resultados se vuelve mucho más sencillo si se hace en la plataforma de Detección como Código de SOC Prime. 

Es posible usar ATT&CK en nuestra plataforma de varias maneras:

• Búsqueda de contenido de detección 

Casos de Uso: reducción del MTDD, controles preventivos

• Exploración y análisis del contexto de amenazas

Caso de Uso: realización de Caza de Amenazas 

• Análisis de rendimiento 

Caso de Uso: evaluación de la efectividad del equipo SOC

• Herramientas y evaluación de servicios 

Caso de Uso: exclusión de una herramienta de código abierto de una cadena de suministro porque tomaría demasiado tiempo y esfuerzo asegurarla (número de reglas SOC Prime + TTPs para cubrir)

• Migración de proveedor o superposición de productos 

Caso de Uso: proporcionar cobertura de amenazas a través de soluciones de software que la empresa utiliza actualmente. Por ejemplo, Splunk + Crowdstrike + Securonix

• Gestión de riesgos 

Casos de Uso: proporcionando análisis y actualizaciones del perfil de amenazas, análisis de brechas, etc.

• Evaluación del ROI del SOC 

Caso de Uso: evaluando el trabajo realizado y comparándolo con el tiempo y dinero gastados

• Auditoría de seguridad interna 

Casos de Uso: gestión del cumplimiento de regulaciones, fusiones y adquisiciones, etc.

¿Cómo usar el marco MITRE ATT&CK en la Plataforma de Detección como Código de SOC Prime?

Usa las siguientes rutas una vez que hayas iniciado sesión en la plataforma de Detección como Código de SOC Prime:

Analítica > Búsqueda Avanzada or Ingeniería de Detección

• Usa filtros para buscar reglas de detección y consultas mapeadas a tácticas específicas, técnicas, sub-técnicas, actores, herramientas, fuentes de datos o componentes de datos.

Analítica > Cobertura MITRE ATT&CK

• Analiza los TTPs cubiertos por el contenido de detección de SOC Prime que tu equipo ha explorado, desplegado o descargado vía API.
• Haz clic en Exportar para exportar la cobertura de TTPs definida por un Perfil de Búsqueda actual a MITRE Navigator. También puedes hacer clic en Importar al crear un Perfil de Búsqueda para importar una capa de Navigator que ya has estado utilizando.

Automatizar > Perfiles de Búsqueda > Crear > Técnica

• Gestiona fácilmente listas de TTPs junto con otros parámetros en un Perfil de Búsqueda

Contenidos > MITRE ATT&CK

• Busca reglas de detección, configuraciones y paquetes de contenido por TTPs.

Contenidos > Búsqueda Avanzada > [Nombre de la Regla] > Inteligencia > MITRE ATT&CK

• Explora los TTPs cubiertos en una pieza de contenido particular.

Es posible revisar no solo tus propios esfuerzos analíticos, sino también los de tu equipo. Configurar la automatización e informes puede llevar algún tiempo al principio, pero una vez hecho, usar detecciones mapeadas a ATT&CK será mucho más fácil y rápido.

¿Pueden los usuarios de SOC Prime obtener información sobre el contexto de MITRE ATT&CK sin registrarse?

Sí.

Ve al Motor de Búsqueda de Amenazas Cibernéticas de SOC Prime y busca el contenido de detección de tu interés. Puedes buscar escribiendo TTPs, CVEs, actores de amenazas, fuentes de registro, nombres de cepas de malware, productos de software, y mucho más. Una vez que veas los resultados del motor de búsqueda, puedes reducirlos utilizando filtros en el lado izquierdo de la pantalla y en la parte superior. 

Activa la vista MITRE ATT&CK® activar para ordenar los resultados por TTPs. En la esquina superior derecha de la pantalla, verás dos íconos – Exportar and Importar de archivos JSON hacia y desde el ATT&CK Navigator. ¡Usarlos es súper fácil! Un clic – y estás en Navigator, explorando los resultados de búsqueda de contenido de detección en una matriz MITRE ATT&CK. Dos clics – e importaste los TTPs de tu capa de Navigator y ves todas las detecciones relevantes para tu selección. Sin embargo, el uso real de esas detecciones en tu entorno SOC es sólo posible si estás registrado en la plataforma de Detección como Código de SOC Prime.

Conclusión

MITRE ATT&CK es muchas cosas. Es una belleza de datos perfectamente ordenados. Se trata de habilidades mejoradas para colaborar. Movimientos estratégicos. Incluso más, se trata de una filosofía de arquitectura limpia, a menudo utilizada en la codificación, donde la lógica comercial no depende de herramientas particulares. En un contexto de ciberseguridad, la lógica de una sola detección es transferible a través de una variedad de diferentes capas de seguridad, así como soluciones, herramientas y formatos horizontalmente iguales.

Al hacer gratuitas y abiertas las Tácticas, Técnicas y Conocimientos Comunes del Adversario (ATT&CK), MITRE Corp. facilita un enfoque colaborativo de defensa ante amenazas, reuniendo comunidades, el sector privado y el gobierno. La enumeración y explicación de cada movimiento de ciberataque brinda la oportunidad de implementar nuevas metodologías y modelos de amenazas, automatizar procesos y analizar amenazas de manera efectiva.

Mejora tu cobertura de detección de amenazas con contenido de Detección como Código por demanda mapeado a MITRE ATT&CK. Elige el Plan de suscripción a pedido y obtenga contenido de detección personalizado alineado con su defensa cibernética para defenderse proactivamente contra amenazas emergentes.