Por qué debería familiarizarse con el marco MITRE ATT&CK

Muchos tecnólogos y profesionales de TI están al tanto de MITRE ATT&CK, pero no saben qué hacer con ello. Si estás utilizando herramientas como CIS CDM y NIST CSF 2.0, ¿por qué necesitarías conocer los detalles que se encuentran en MITRE ATT&CK? Si bien es cierto que puedes pasar sin profundizar en ello, comprender cómo usar MITRE ATT&CK puede ayudarte a desarrollar defensas más fuertes y ágiles para tu empresa.

¿Qué son MITRE y MITRE ATT&CK?

Comencemos con la organización. El nombre completo es The MITRE Corporation, aunque la mayoría de nosotros lo conocemos como MITRE. Se lanzó en 1958 cuando se separó del MIT Lincoln Laboratory para convertirse en una entidad independiente. Contrariamente a la creencia popular, MITRE no significa Massachusetts Institute of Technology Research and Engineering ni (aparentemente) nada más.

Según Murphy, los incorporadores afirmaron que el nombre era la ortografía francesa de la palabra inglesa “miter”, una unión suave de dos piezas. Muchas personas han especulado que significaba “MIT Research and Engineering”, pero eso habría ido en contra del claro deseo de Stratton de desvincular al MIT del trabajo en SAGE. ~Simson Garfinkel, MIT's first divorce, MIT Technology Review

Todavía hay cierta especulación en torno a MITRE como acrónimo. Un empleado de los primeros años recuerda haber visto gabinetes etiquetados como "MIT/RE", lo que puede sugerir MIT Research Establishment. La dirección de MITRE siempre ha negado que el nombre sea un acrónimo. Consulta el artículo de MIT Technology Review para conocer la historia del misterio en torno al nombre y el estilo en mayúsculas.

Hoy MITRE es una organización sin fines de lucro que opera centros de investigación y desarrollo financiados por el gobierno federal (FFRDCs) en múltiples áreas de enfoque. La que estamos mencionando aquí es ciberseguridad.

MITRE ATT&CK (Tácticas, Técnicas y Conocimiento Común de los Adversarios) es una base de conocimiento accesible a nivel mundial sobre el comportamiento de los adversarios. En términos simples, es una enciclopedia de cómo operan los actores de amenazas en el mundo real.

MITRE ATT&CK se actualiza regularmente, con actualizaciones importantes lanzadas cada seis meses , generalmente en primavera y otoño. Las actualizaciones menores ocurren según sea necesario, pero generalmente son ajustes menores de datos o correcciones de errores/erratas. El contenido de ATT&CK en sí no se cambia. Las versiones y actualizaciones de MITRE ATT&CK utilizan un número de versión 'major.minor'. Con cada actualización de 6 meses, el número de versión principal se incrementa en 1.0. Con cada actualización menor, el número de versión se incrementa en .1. Por ejemplo, la versión más reciente de ATT&CK es 17.1. Esto se debe a que se aplicaron actualizaciones menores después de que se lanzó la versión 17.

Cada versión principal de ATT&CK tiene su propia página web permanente. La versión más actual siempre reside en https://attack.mitre.org/.

Tácticas, Técnicas y Procedimientos (TTPs)

Ahora llegamos a lo bueno. La mayoría de los perfiles de ataques cibernéticos incluirán referencias a TTPs. Si no sabes qué son, aquí tienes una explicación sencilla:

Tácticas: El "por qué" detrás de un ataque, o la razón por la que un actor de amenazas hace algo. Un ejemplo es la táctica de reconocimiento. La breve descripción de esta táctica es "El adversario está tratando de recopilar información que pueda utilizar para planificar operaciones futuras". Así es como se ve en la lista de tácticas:

El ID a la izquierda – TA0043 – nos indica que esta es una Asignación de Táctica (TA) y es la ⁴³ª entrada en la lista de TAs. Los números de ID se asignan en secuencia según cuándo se agregó la táctica. TA0043 se asignó después de TA0042, por ejemplo. Cada táctica tiene su propia página dedicada con técnicas asociadas. (Aquí está el Reconocimiento)

Técnicas: Este es el "cómo" los atacantes hacen lo que hacen. Si está investigando la táctica de acceso inicial, encontrará técnicas como phishing, compromiso de la cadena de suministro y 'servicios remotos externos', que cubren cosas como exploits de VPN y RDP. Puede ver las técnicas asociadas con el acceso inicial aquí .

Cada técnica tiene un ID, que son similares a los ID de asignación de tácticas. La técnica de servicios remotos externos está asignada al ID T1133. Esta es una Técnica (T) y fue la técnica número 1133^ª añadida al sistema ATT&CK.

Procedimientos: Estos son ejemplos específicos del mundo real de cómo diferentes grupos de amenazas ejecutan las técnicas ATT&CK. Si sigues el enlace a T1133 (servicios remotos externos), encontrarás la página de procedimientos para esta técnica. Aquí encontrarás listas de campañas de ataque, grupos de amenazas y software malicioso, y cómo se utilizaron en ataques reales. También encontrarás información sobre detección y mitigación.

¿Por qué debería importarte?

Las normas y los marcos pueden ayudarle a comprender su posición en ciberseguridad. Son muy importantes a la hora de construir una estrategia integral e identificar brechas de seguridad. Responden preguntas sobre qué hacer y cuándo hacerlo. MITRE ATT&CK es otra herramienta para utilizar en la construcción de su seguridad. Le proporciona información detallada sobre cómo operan los actores de amenazas. Es una inmersión profunda en su comportamiento.

Esta información puede ayudarte a investigar comportamientos anómalos y ver si hay algún vínculo con un grupo o campaña de amenazas conocida. Puede utilizarse para ajustar tus reglas de detección o probar defensas contra las TTP asociadas con el reconocimiento o acceso inicial.

En resumen, piensa en NIST CSF y estándares CIS como lo que parece una buena seguridad. Piensa en TTPs y ATT&CK como la forma en que los actores maliciosos realmente operan. Necesitas ambos enfoques para construir defensas resilientes y adaptativas en el panorama de amenazas actual.

Más:

• Blog de MITRE ATT&CK
• Preguntas frecuentes sobre MITRE ATT&CK

Nota: Este artículo aparece originalmente en la Barracuda Reddit community.