Descubra todas las formas en que MITRE ATT&CK puede ayudarlo a defender su organización. Cree su estrategia y políticas de seguridad aprovechando al máximo este importante marco.
¿Qué es el Marco MITRE ATT&CK?
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es un marco y una base de conocimientos ampliamente adoptados que describen y clasifican las tácticas, técnicas y procedimientos (TTP) utilizados en ciberataques. Creado por la organización sin fines de lucro MITRE, este marco brinda a los profesionales de la seguridad información y contexto que pueden ayudarlos a comprender, identificar y mitigar las amenazas cibernéticas de manera efectiva.
Las técnicas y tácticas en el marco están organizadas en una matriz dinámica. Esto facilita la navegación y también proporciona una visión holística de todo el espectro de comportamientos de los adversarios. Como resultado, el marco es más procesable y utilizable que si fuera una lista estática.
El marco MITRE ATT&CK se puede encontrar aquí: https://ataque.mitre.org/
Atención: sesgos del marco MITRE ATT&CK
Según Etay Maor, director sénior de estrategia de seguridad de Cato Networks“El conocimiento proporcionado en el marco MITRE ATT&CK se deriva de la evidencia del mundo real de los comportamientos de los atacantes. Esto lo hace susceptible a ciertos sesgos que los profesionales de seguridad deben tener en cuenta. Es importante comprender estas limitaciones”.
- Sesgo de novedad – Se informan las técnicas o los actores que son nuevos o interesantes, mientras que las técnicas que se utilizan una y otra vez no lo son.
- Sesgo de visibilidad – Los editores de informes de Intel tienen sesgos de visibilidad que se basan en cómo recopilan los datos, lo que da como resultado la visibilidad de algunas técnicas y no de otras. Además, las técnicas también se ven de manera diferente durante los incidentes y después.
- Sesgo del productor – Es posible que los informes publicados por algunas organizaciones no reflejen la industria en general o el mundo en su conjunto.
- Sesgo de víctima – Algunas organizaciones de víctimas son más propensas a denunciar, o ser denunciadas, que otras.
- Sesgo de disponibilidad – Los autores de informes a menudo incluyen técnicas que rápidamente vienen a la mente en sus informes.
Casos de uso de MITRE ATT&CK Defender
El marco MITRE ATT&CK ayuda a los profesionales de la seguridad a investigar y analizar varios ataques y procedimientos. Esto puede ayudar con inteligencia de amenazas, detección y análisis, simulaciones y evaluación e ingeniería. El Navegador MITRE ATT&CK es una herramienta que puede ayudar a explorar y visualizar la matriz, mejorando el análisis de cobertura defensiva, planificación de seguridad, frecuencia técnica y más.
Etay Maor agrega: “El marco puede ser tan profundo como desee o puede tener un nivel tan alto como desee. Puede usarse como una herramienta para mostrar el mapeo y si somos buenos o malos”. en ciertas áreas, pero podría profundizar en la comprensión del procedimiento muy específico e incluso la línea de código que se utilizó en un ataque específico”.
Aquí hay algunos ejemplos de cómo se pueden usar el marco y el Navegador:
Análisis de actores de amenazas
Los profesionales de la seguridad pueden aprovechar MITRE ATT&CK para investigar actores de amenazas específicos. Por ejemplo, pueden profundizar en la matriz y aprender qué técnicas utilizan los diferentes actores, cómo se ejecutan, qué herramientas utilizan, etc. Esta información ayuda a investigar ciertos ataques. También amplía el conocimiento y la forma de pensar de los investigadores al presentarles modos adicionales de operación que toman los atacantes.
En un nivel superior, el marco se puede usar para responder preguntas de nivel C sobre infracciones o actores de amenazas. Por ejemplo, si se le pregunta: “Creemos que podríamos ser un objetivo para los actores de amenazas del estado nación iraní”. El marco permite profundizar en los actores de amenazas iraníes como APT33, mostrando qué técnicas utilizan, ID de ataque y más.
Análisis de múltiples actores de amenazas
Además de investigar actores específicos, el marco MITRE ATT&CK también permite analizar múltiples actores de amenazas. Por ejemplo, si surge la inquietud de que “debido a los recientes acontecimientos políticos y militares en Irán, creemos que habrá represalias en forma de ciberataque. ¿Cuáles son las tácticas de ataque comunes de los actores de amenazas iraníes?”, el marco puede utilizarse para identificar tácticas comunes utilizadas por una serie de actores del estado-nación.
Así es como podría verse un análisis visualizado de múltiples actores de amenazas, con técnicas de representación rojas y amarillas utilizadas por diferentes actores y verde que representa una superposición.
Análisis de las deficiencias
El marco MITRE ATT&CK también ayuda a analizar las brechas existentes en las defensas. Esto permite que los defensores identifiquen, visualicen y ordenen cuáles la organización no tiene cobertura.
Así es como podría verse, con los colores utilizados para la priorización.
Pruebas atómicas
Finalmente, el Equipo rojo atómico es una biblioteca de código abierto de pruebas asignadas al marco MITRE ATT&CK. Estas pruebas se pueden usar para probar su infraestructura y sistemas según el marco, para ayudar a identificar y mitigar las brechas de cobertura.
El MITRE CTID (Centro para la Defensa Informada sobre Amenazas)
El INGLETE CTID (Center for Threat-Informed Defense) es un centro de I+D, financiado por entidades privadas, que colabora tanto con organizaciones del sector privado como sin ánimo de lucro. Su objetivo es revolucionar el enfoque de los adversarios mediante la agrupación de recursos y enfatizando la respuesta proactiva a incidentes en lugar de medidas reactivas. Esta misión está impulsada por la creencia, inspirada por John Lambert, de que los defensores deben pasar de pensar en listas a pensar en gráficos si quieren superar las ventajas de los atacantes.
Etay Maor comenta: “Esto es muy importante. Necesitamos facilitar la colaboración entre los defensores en diferentes niveles. Nos apasiona mucho esto”.
Una iniciativa importante en este contexto es el proyecto “Attack Flow”. Attack Flow aborda el desafío al que se enfrentan los defensores, que a menudo se centran en los comportamientos atómicos individuales de los atacantes. En su lugar, Attack Flow utiliza un nuevo lenguaje y herramientas para describir el flujo de las técnicas de ATT&CK. Estas técnicas luego se combinan en patrones de comportamiento. Este enfoque permite a los defensores y líderes obtener una comprensión más profunda de cómo operan los adversarios, para que puedan refinar sus estrategias en consecuencia.
Puede mira aquí cómo se ve un flujo de ataque.
Con estos flujos de ataque, los defensores pueden responder preguntas como:
- ¿Qué han estado haciendo los adversarios?
- ¿Cómo están cambiando los adversarios?
Las respuestas pueden ayudarlos a capturar, compartir y analizar patrones de ataque.
Luego, podrán responder las preguntas más importantes:
- ¿Cuál es la siguiente cosa más probable que harán?
- ¿Qué nos hemos perdido?
CTID invita a la comunidad a participar en sus actividades y contribuir a su base de conocimientos. puedes contactarlos en Linkedin.
Para obtener más información sobre el marco MITRE ATT&CK, Mira toda la clase magistral aquí.