¿Qué es el marco ATT&CK de MITRE? ¿Por qué permite a los especialistas de ciberseguridad comprender mejor las ciberamenazas?




por Víctor Ruiz, fundador de SILIKN, mentor del Centro de Ciberseguridad 05000 e instructor certificado en ciberseguridad — CSCT™

ATT&CK–desarrollado por MITRE– es una base de conocimiento accesible a nivel mundial de tácticas y técnicas basadas en ciberseguridad en observaciones del mundo real. La base de conocimientos de ATT&CK se utiliza como base para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en el gobierno y en la comunidad de productos y servicios de ciberseguridad.

Cabe señalar que el marco ATT&CK, existe desde hace cinco años y es un documento vivo y en crecimiento que contiene tácticas y técnicas de ciberamenazas que se han observado en millones de ataques a redes empresariales.

ATT&CK comenzó como un proyecto interno y se transformó en una gran base de conocimiento público que numerosos proveedores y consultores de ciberseguridad han adquirido y consultan frecuentemente.

El objetivo de los investigadores de MITRE es desglosar y clasificar los ataques de una manera coherente y clara que pueda hacer que sea más fácil compararlos y contrastarlos para encontrar cómo el atacante explota las redes y puntos finales y penetra en las redes.

En este sentido, contar con un equipo de especialistas en ciberseguridad que conozcan ATT&CK puede ayudarlo a determinar si sus herramientas defensivas son lo suficientemente completas como para identificar y detener posibles ataques. Este equipo puede encontrar y corregir las brechas en los firewalls y productos de detección de endpoints, además que puede fungir como un sistema de alerta temprana para encontrar los orígenes comunes de los ataques y rastrear las técnicas de un adversario.

El primer paso para crear un equipo de especialistas en ciberseguridad es contratar a las personas adecuadas. El segundo paso es obtener un conjunto adecuado de herramientas para comprender las posibles áreas débiles.

Un punto importante es que a medida que los adversarios se vuelven más hábiles, los defensores también deben mejorar sus capacidades. Mediante el uso de ATT&CK y al clasificar los ataques en unidades discretas, es más fácil para los investigadores ver patrones comunes, descubrir quién fue el autor de las diferentes campañas y rastrear cómo ha evolucionado una pieza de malware a lo largo de los años a medida que el autor agrega nuevas funciones y métodos de ataque.

Mientras que otras herramientas pueden identificar hashes y comportamientos de malware, ATT&CK es uno de los métodos más completos que puede analizar los componentes reales del malware y exponerlos a detalle. La mayoría de los programas maliciosos modernos utilizan una combinación de técnicas para ocultar su funcionamiento, organizar sus exploits, evadir la detección y aprovechar las debilidades de la red. Encontrar estos diversos bloques de construcción es una parte clave para defenderse.

ATT&CK está en constante actualización y es bastante amplio en los temas que cubre, entre los que se encuentran:
  • Diversas matrices de amenazas
  • Alojamiento de ATT&CK en una plataforma wiki que facilita la navegación
  • Una API que facilita la interacción con ATT&CK utilizando los esquemas de intercambio de amenazas STIX / TAXII
  • Mejores capacidades de búsqueda
  • Un comité de gobierno para decidir sobre futuras mejoras, particularmente a medida que más proveedores de seguridad privada comienzan a ofrecer mejoras y herramientas basadas en ATT&CK.

La matriz de ATT&CK contiene información para las siguientes plataformas: Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Network, Containers; en móvil, iOS y Android, e incluye un apartado para Sistemas de Control Industriales.

Para mayor información, conozca la plataforma en el siguiente enlace: https://attack.mitre.org/

Si necesita más información, visite: https://www.silikn.com/