ATT&CK detalla el comportamiento y la taxonomía de las acciones del adversario en los ciclos de vida de la amenaza, lo que mejora la inteligencia sobre las amenazas y las operaciones o la arquitectura de seguridad.
El marco de trabajo MITRE ATT&CK tiene dos partes: ATT&CK for Enterprise, que es una base de conocimiento detallada que abarca el comportamiento contra las redes de TI y la nube empresariales, y ATT&CK for Mobile, que se centra en el comportamiento contra los dispositivos móviles.
MITRE creó ATT&CK en 2013 como un medio para documentar las tácticas, técnicas y procedimientos comunes propios de las amenazas persistentes avanzadas (APT) contra las organizaciones. Su popularidad es cada vez mayor y cuenta con el apoyo del sector por ser un medio que desarrolla una taxonomía común y un modelo de relaciones para los equipos defensivos y de investigación que buscan entender y repeler las actividades de ataque y los comportamientos del adversario a medida que evolucionan.
El marco de trabajo aborda cuatro problemas principales:
Los atacantes pueden cambiar rápidamente indicadores típicos como direcciones IP, dominios, claves de registro, hashes de archivos, etc. Sin embargo estos indicadores solo son útiles para la detección del ataque, pero no indican cómo han interactuado los atacantes con los diferentes sistemas; solo revelan que ha habido interacción con un sistema en algún momento. La detección de posibles comportamientos de adversarios ayuda a centrar las investigaciones en tácticas y técnicas menos efímeras o de poca confianza.
Conceptos como el ciclo de vida del adversario o Cyber Kill Chain son de un nivel demasiado alto para poder relacionar los comportamientos con las defensas. Ese nivel de abstracción no ha sido útil para asociar las tácticas, las técnicas y los procedimientos comunes con nuevos sensores.
Es importante basar las tácticas, las técnicas y los procedimientos comunes en incidentes y campañas observados para demostrar que el trabajo tiene una aplicación.
Las tácticas, las técnicas y los procedimientos deben ser comparables entre distintos tipos de grupos de adversarios utilizando la misma terminología.
El marco de trabajo ATT&CK funciona como una autoridad sobre los comportamientos y las técnicas que emplean los hackers contra las organizaciones. Elimina la ambigüedad y propone un vocabulario centralizado para los profesionales del sector, lo que les ayuda a debatir y colaborar para combatir a los atacantes y aplicar medidas de seguridad prácticas.
ATT&CK añade rigor y detalle más allá de la inteligencia de amenazas y las técnicas de herramientas que son útiles en ataques oportunistas y menos dirigidos. La pirámide del dolor explica cómo complementa a otros indicadores comunes hoy en día.
La pirámide del dolor es una representación de los tipos de indicadores de compromiso. Mide la posible utilidad de la inteligencia de amenazas y se centra en la respuesta a incidentes y la detección de amenazas.
Los valores de hash se generan a través de algoritmos como el MD5 o el SHA y representan un archivo malicioso específico. Los hashes proporcionan referencias específicas a malware y archivos sospechosos que utilizan los atacantes para la intrusión.
Las direcciones IP son uno de los indicadores más fundamentales de la fuente de un ataque malicioso. Sin embargo, es posible adoptar una dirección IP mediante un servicio de proxy y cambiarla con frecuencia.
Puede haber un nombre de dominio o incluso un tipo de subdominio registrado, pagado y alojado. Sin embargo, hay muchos proveedores de servicios DNS que han relajado los estándares de registro.
Los artefactos de red son elementos de actividad que pueden identificar a un usuario malicioso y distinguirlo de un usuario legítimo. Puede tratarse de un patrón URI o de información C2 que se integra en los protocolos de red.
Los artefactos de host son elementos observables provocados por actividades adversas en un host que identifica actividades maliciosas y las distingue de actividades legítimas. Estos identificadores incluyen claves de registro o valores que se sabe que son creados por malware, o archivos/directorios que se dejan en ciertas áreas.
Por lo general, las herramientas son tipos de software que los atacantes utilizan en nuestra contra. También puede tratarse de una serie de herramientas que ellos incorporan para interactuar con el código o el software existente. Entre estas herramientas se incluyen utilidades que crean documentos maliciosos para el spear phishing, puertas traseras que establecen C2, programas de descifrado de contraseña u otras utilidades que puedan comprometer nuestra seguridad.
Las tácticas, las técnicas y los procedimientos están en la parte superior de la pirámide. Este es el proceso completo de cómo un atacante cumple su misión, desde la fase de investigación inicial hasta la exfiltración de los datos, con todas las fases que hay entre ellas.
La matriz ATT&CK es la visualización de la relación entre las tácticas y las técnicas. Las tácticas son la idea de mayor nivel que explica por qué un atacante está realizando la acción y las técnicas son las acciones que el atacante realiza para llevar a cabo su táctica.
El marco de trabajo ATT&CK Enterprise tiene 14 tácticas que constituyen el “por qué” de la ecuación. Las tácticas se clasifican de la siguiente manera:
- Reconocimiento
- Desarrollo de recursos
- Acceso inicial
- Ejecución
- Persistencia
- Escalada de privilegios
- Evasión de defensas
- Acceso a credenciales
- Discovery
- Movimiento lateral
- Recopilación
- Comando y control
- Exfiltración
Dentro de cada táctica hay una serie de técnicas que los grupos de amenazas o malware utilizan en su afán por comprometer la seguridad de su objetivo y alcanzar sus metas. En el marco de trabajo ATT&CK hay once tácticas, pero alrededor de 300 técnicas que es necesario tener en cuenta.
Cada una de las técnicas de la base de conocimientos tiene información con contexto, como los permisos necesarios, qué plataforma suele tener la técnica y cómo detectar los comandos y procesos cuando se utilizan.
Se informa a las defensas en función de las posibles amenazas. Las técnicas también se priorizan en función de los rasgos comunes entre los grupos y el análisis de lagunas de las defensas actuales en comparación con las amenazas comunes.
Formación de equipos morados, fuentes de datos, pruebas, análisis personalizados y análisis fuera de banda (OOB).
Comunicaciones al equipo azul, variación en los comportamientos del equipo rojo, emulación de adversarios basada en inteligencia de ciberamenazas y pruebas de técnicas atómicas.
Evaluar las brechas de cobertura en función del uso real y priorizar la capacidad de mitigación y las inversiones, como la técnica única, mitigaciones y fidelidad a través de varias técnicas.
Un aspecto importante de ATT&CK es la forma en que incorpora la inteligencia de ciberamenazas. ATT&CK documenta el comportamiento de los atacantes en función de los informes disponibles públicamente para indicar qué grupos utilizan qué técnicas. Lo habitual es que haya informes específicos que documenten un incidente o un solo grupo, pero ATT&CK se centra más en un tipo de actividad y una técnica, y después asocia a los atacantes y los grupos con la actividad; esto ayuda a los técnicos a centrarse en las técnicas más utilizadas.
En el mundo digital actual, la capacidad de una organización para prepararse ante un evento de seguridad, identificarlo, minimizarlo y recuperarse de él es fundamental para su éxito. Como tal, la respuesta a incidentes de seguridad reforzada por MITRE ATT&CK puede ayudarte a garantizar que tu empresa está preparada y que tiene acceso a recursos para desarrollar modelos y metodologías de amenazas avanzadas para luchar contra los ciberataques.
Al trabajar dentro del marco de trabajo MITRE ATT&CK, los equipos de seguridad pueden mejorar sus análisis y su respuesta a incidentes a medida que ocurren. Tendrán la capacidad de identificar con precisión los indicadores de compromiso y podrán priorizar amenazas específicas. Además, se mejorarán los flujos de trabajo automatizados gracias a tácticas esenciales y otros recursos extraídos del playbook de ATT&CK.
MITRE ATT&CK capacita a las empresas con los módulos Threat Intelligence y Security Incident Response para que puedan mejorar su respuesta ante incidentes y proteger activos valiosos.