¿Qué es MITRE ATT&CK y para qué sirve?

__wf_reserved_heredar__wf_reserved_heredar
__wf_reserved_heredar
__wf_reserved_heredar

¿Qué es MITRE ATT&CK™?

MITRA introducido AT&CK (Tácticas, técnicas y conocimientos comunes de confrontación) en 2013 como una forma de describir y categorizar los comportamientos contradictorios basándose en observaciones del mundo real. ATT&CK es una lista estructurada de los comportamientos conocidos de los atacantes que se han compilado en tácticas y técnicas y se han expresado en un puñado de matrices, así como mediante STIX/TAXI. Dado que esta lista es una representación bastante completa de los comportamientos que emplean los atacantes cuando comprometen las redes, es útil para una variedad de medidas, representaciones y otros mecanismos ofensivos y defensivos.

Comprensión de las matrices ATT&CK

MITRE ha dividido ATT&CK en varias matrices diferentes: Empresarial, Móvil, y ANTES DEL ATAQUE. Cada una de estas matrices contiene varias tácticas y técnicas asociadas con el tema de esa matriz.

La matriz empresarial está compuesta por técnicas y tácticas que se aplican a los sistemas Windows, Linux y/o macOS. Los dispositivos móviles contienen tácticas y técnicas que se aplican a los dispositivos móviles. PRE-ATT&CK contiene tácticas y técnicas relacionadas con lo que hacen los atacantes delante de intentan explotar una red o un sistema objetivo en particular.

Los detalles de ATT&CK: tácticas y técnicas

Al mirar ATT&CK en forma de matriz, los títulos de las columnas de la parte superior son táctica y son esencialmente categorías de técnicas. Las tácticas son qué los atacantes están tratando de lograr, mientras que las técnicas individuales son cómo cumplen esos pasos u objetivos.

__wf_reserved_heredar

Matriz empresarial de ATT&CK de https://attack.mitre.org/matrices/enterprise/

Por ejemplo, una de las tácticas es Movimiento lateral. Para que un atacante logre el movimiento lateral en una red con éxito, querrá emplear una o más de las técnicas que figuran en la columna Movimiento lateral de la matriz ATT&CK.

UN técnica es un comportamiento específico para lograr un objetivo y, a menudo, es un solo paso en una serie de actividades empleadas para completar la misión general del atacante. ATT&CK proporciona muchos detalles sobre cada técnica, incluida una descripción, ejemplos, referencias y sugerencias para la mitigación y la detección.

__wf_reserved_heredar

Ejemplo de descripción de una técnica en MITRE ATT&CK

Como ejemplo de cómo funcionan las tácticas y técnicas en ATT&CK, es posible que un atacante desee acceder a una red e instalar software de minería de criptomonedas en tantos sistemas como sea posible dentro de esa red. Para lograr este objetivo general, el atacante debe realizar con éxito varios pasos intermedios. En primer lugar, acceda a la red, posiblemente a través de un Enlace de suplantación de identidad. A continuación, es posible que tengan que aumentar sus privilegios mediante Inyección de procesos. Ahora pueden obtener otras credenciales del sistema a través de Dumping de credenciales y, a continuación, establecer la persistencia configurando el script de minería para que se ejecute como Tarea programada. Una vez logrado esto, el atacante podría moverse lateralmente a través de la red con Pasa el hachís y difunda su software de minería de monedas en tantos sistemas como sea posible.

En este ejemplo, el atacante tuvo que ejecutar con éxito cinco pasos, cada uno de los cuales representa un táctica o etapa de su ataque general: Acceso inicial, Escalación de privilegios, Acceso a credenciales, Persistencia, y Movimiento lateral. Usaron cosas específicas técnicas dentro de estas tácticas para completar cada etapa de su ataque (enlace de suplantación de identidad, inyección de procesos, descarga de credenciales, etc.).

Las diferencias entre PRE-ATT&CK y ATT&CK Enterprise

PRE-ATT&CK y ATT&CK Enterprise se combinan para formar la lista completa de tácticas que se alinean aproximadamente con las Cyber Kill Chain. PRE-ATT&CK se alinea principalmente con las tres primeras fases de la cadena de exterminio: reconocimiento, armamento y lanzamiento. ATT&CK Enterprise se adapta perfectamente a las cuatro fases finales de la cadena de exterminio: explotación, instalación, mando y control, y acciones en función de los objetivos.

__wf_reserved_heredar
Tácticas PRE-ATT&CK
__wf_reserved_heredar
Definición de prioridad
__wf_reserved_heredar
Selección de objetivos
__wf_reserved_heredar
Recopilación de información
__wf_reserved_heredar
Identificación de debilidades
__wf_reserved_heredar
OpSec del adversario
__wf_reserved_heredar
Establecer y mantener la infraestructura
__wf_reserved_heredar
Desarrollo personal
__wf_reserved_heredar
Desarrolle capacidades
__wf_reserved_heredar
Capacidades de prueba
__wf_reserved_heredar
Capacidades escénicas
Tácticas empresariales de ATT&CK
__wf_reserved_heredar
Acceso inicial
__wf_reserved_heredar
Ejecución
__wf_reserved_heredar
Persistencia
__wf_reserved_heredar
Escalación de privilegios
__wf_reserved_heredar
Evasión de defensa
__wf_reserved_heredar
Acceso a credenciales
__wf_reserved_heredar
Descubrimiento
__wf_reserved_heredar
Movimiento lateral
__wf_reserved_heredar
Colección
__wf_reserved_heredar
Exfiltración
__wf_reserved_heredar
Comando y control
__wf_reserved_heredar

¿Qué se puede hacer con ATT&CK?

ATT&CK es valioso en una variedad de entornos cotidianos. Cualquier actividad defensiva que haga referencia a los atacantes y sus comportamientos puede resultar beneficiosa si se aplica la taxonomía de ATT&CK. Además de ofrecer un léxico común para los ciberdefensores, ATT&CK también proporciona una base para las pruebas de penetración y el trabajo en equipo rojo. De este modo, los defensores y los miembros del equipo rojo utilizan un lenguaje común para referirse a las conductas hostiles.

Ejemplos en los que puede resultar útil aplicar la taxonomía de ATT&CK:

__wf_reserved_heredar
Mapeo de los controles defensivos

Los controles defensivos pueden tener un significado bien entendido cuando se comparan con las tácticas y técnicas de ATT&CK a las que se aplican.

__wf_reserved_heredar
Integraciones de herramientas

Diferentes herramientas y servicios pueden estandarizar las tácticas y técnicas de ATT&CK, lo que dota de cohesión a una defensa que a menudo falta.

__wf_reserved_heredar
Búsqueda de amenazas

Al asignar las defensas a ATT&CK, se obtiene una hoja de ruta con las brechas defensivas que proporcionan a los cazadores de amenazas los lugares perfectos para encontrar la actividad de los atacantes que no han detectado.

__wf_reserved_heredar
Compartir

Al compartir información sobre un ataque, un actor o un grupo, o sobre los controles defensivos, los defensores pueden garantizar un entendimiento común mediante el uso de técnicas y tácticas de ATT&CK.

__wf_reserved_heredar
Detecciones e investigaciones

El Centro de Operaciones de Seguridad (SOC) y el equipo de respuesta a incidentes pueden consultar las técnicas y tácticas de ATT&CK que se hayan detectado o descubierto. Esto ayuda a comprender cuáles son los puntos fuertes y débiles de la defensa y a validar los controles de mitigación y detección, y puede descubrir errores de configuración y otros problemas operativos.

__wf_reserved_heredar
Integraciones de herramientas

La planificación, la ejecución y la denuncia de las actividades del equipo rojo, el equipo morado y las pruebas de penetración pueden utilizar ATT&CK para hablar un lenguaje común con los defensores y los destinatarios de las denuncias, así como entre ellos.

__wf_reserved_heredar
Referenciando actores

Los actores y los grupos se pueden asociar con comportamientos específicos y definibles.

Uso de ATT&CK para mapear las defensas y comprender las brechas

La tendencia natural de la mayoría de los equipos de seguridad al analizar MITRE ATT&CK es tratar de desarrollar algún tipo de control de detección o prevención para cada técnica de la matriz empresarial. Si bien no es una mala idea, los matices de ATT&CK hacen que este enfoque sea un poco peligroso si no se tienen en cuenta ciertas advertencias. Las técnicas de las matrices ATT&CK a menudo se pueden realizar de diversas maneras. Por lo tanto, bloquear o detectar una única forma de ejecutarlas no significa necesariamente que haya cobertura para todas las formas posibles de ejecutar esa técnica. Esto puede llevar a una falsa sensación de seguridad al pensar que, dado que una herramienta bloquea una forma de emplear una técnica, la organización la cubre adecuadamente. Sin embargo, los atacantes aún pueden emplear con éxito otras formas de emplear esa técnica sin ningún tipo de detección o prevención.

La forma de abordar este problema es la siguiente:

__wf_reserved_heredar
Suponga siempre que hay más de una forma de realizar una técnica de ATT&CK
__wf_reserved_heredar
Investigue y pruebe formas conocidas de realizar técnicas específicas y medir la eficacia de las herramientas y la visibilidad implementadas
__wf_reserved_heredar
Registre cuidadosamente los resultados de las pruebas para mostrar dónde existen brechas en esa técnica y qué formas de emplear esa técnica pueden prevenirse o detectarse.
__wf_reserved_heredar
Observe qué herramientas han demostrado ser eficaces en detecciones específicas y observe las brechas en las que no hay cobertura alguna
__wf_reserved_heredar
Manténgase al día con las nuevas formas de realizar técnicas y asegúrese de probarlas en el entorno para medir la cobertura

Por ejemplo, si el antivirus detecta la presencia de Mimikatz, eso no significa que Pass the Hash (T1075) y Pass the Ticket (T1097) estén cubiertos, ya que todavía hay otras formas de realizar estas técnicas que no implican el uso de Mimikatz. Ten esto en cuenta si intentas usar ATT&CK para mostrar una cobertura defensiva en una organización.

Uso de ATT&CK con inteligencia de ciberamenazas

ATT&CK puede ser útil para la inteligencia de ciberamenazas, ya que permite describir los comportamientos de los adversarios de forma estándar. Se puede rastrear a los actores asociándolos con las técnicas y tácticas de ATT&CK que se sabe que utilizan. Esto proporciona una hoja de ruta que los defensores pueden aplicar en contra de sus controles operativos para ver cuáles son sus puntos débiles frente a ciertos actores y cuáles son sus puntos fuertes. Crear entradas en MITRE ATT&CK Navigator para actores específicos es una buena manera de visualizar las fortalezas y debilidades del entorno frente a esos actores o grupos. ATT&CK también está disponible como Alimentación STIX/TAXII 2.0 lo que facilita la asimilación de las herramientas existentes que admiten esas tecnologías.

ATT&CK ofrece detalles sobre casi setenta actores y grupos, incluidas las técnicas y herramientas que se sabe que utilizan basándose en informes de código abierto.

__wf_reserved_heredar

Lista de grupos MITRE ATT&CK

El proceso de creación de inteligencia en sí mismo puede beneficiarse del uso de la lengua vernácula común de ATT&CK. Como se mencionó, esto puede aplicarse a actores y grupos, pero también a los comportamientos observados desde el SOC o a las actividades de respuesta a incidentes. También se puede hacer referencia al malware en términos de comportamientos a través de ATT&CK. Cualquier herramienta de inteligencia de amenazas compatible con ATT&CK ayuda a facilitar este proceso. La inteligencia comercial y de código abierto que aplica ATT&CK a cualquiera de los comportamientos mencionados también es útil para mantener la coherencia. En última instancia, difundir información a las operaciones o a la dirección es mucho más fácil cuando todas las partes hablan el mismo idioma en relación con las conductas contradictorias. Si las operaciones saben exactamente qué Autenticación forzada si se menciona y ve que se menciona en un informe de inteligencia, es posible que sepan exactamente qué medidas se deben tomar o qué controles ya existen con respecto a esa información de inteligencia. De este modo, estandarizar las referencias de ATT&CK en los productos de inteligencia puede mejorar considerablemente la eficiencia y garantizar un entendimiento común.

Simulación adversarial y ATT&CK

Probar las técnicas de ATT&CK comparándolas con el medio ambiente es la mejor manera de:

__wf_reserved_heredar
Los controles de prueba y su eficacia
__wf_reserved_heredar
Garantizar la cobertura frente a diferentes técnicas
__wf_reserved_heredar
Comprenda las brechas en la visibilidad o la protección
__wf_reserved_heredar
Valide la configuración de herramientas y sistemas
__wf_reserved_heredar
Demuestre dónde diferentes actores tendrían éxito o quedarían atrapados en el medio ambiente
__wf_reserved_heredar
Evite conjeturas y suposiciones con los controles al saber exactamente qué se detecta o mitiga y qué no

El proceso de realizar una simulación contradictoria no es ajeno a muchos entornos. Al emplear evaluadores de penetración para probar el entorno, las organizaciones recurren a pruebas de simulación contradictoria. Lo mismo se aplica a las organizaciones que tienen equipos rojos internos o que llevan a cabo contrataciones de equipos morados. La aplicación de las actividades de estos combates a las técnicas de ATT&CK mejora la comprensión de los resultados por parte de los defensores. En lugar de denunciar los fallos a la hora de detectar determinadas actividades, las denuncias realizadas por equipos encargados de las pruebas abiertas y los equipos rojos pueden ofrecer un mejor contexto para aplicar sus actividades directamente a los controles operativos, las herramientas defensivas y los procedimientos. Esto facilita que los defensores tomen las medidas adecuadas como resultado de las denuncias.

Las simulaciones también se pueden diseñar para reflejar herramientas y técnicas que se sabe que utilizan actores específicos. Esto puede resultar especialmente útil cuando se trata de evaluar el éxito de ciertos adversarios contra los controles presentes en el entorno.

Además, hay herramientas disponibles que proporcionan mecanismos para probar ciertas técnicas directamente en el entorno y que ya están alineadas con ATT&CK. Herramientas comerciales como Verodín, Infracción segura, y IQ de ataque brindan la capacidad de realizar simulaciones adversas alineadas con ATT&CK. Hay algunas opciones de código abierto para realizar simulaciones contradictorias y también para alinearlas con ATT&CK (se enumeran a continuación). Como siempre, ten cuidado al realizar simulaciones contradictorias en redes de producción en las que no se comprenda completamente el alcance de las posibles ramificaciones.

El proceso para utilizar estas herramientas es sencillo:

  1. Simular — Elija los criterios de simulación en función de las pruebas deseadas y, a continuación, ejecute la herramienta o realice la técnica manualmente
  2. Cazar — Examine los registros y los resultados de las herramientas en busca de evidencia de la actividad simulada; anote las expectativas incumplidas con controles preventivos o de detección
  3. Detectar — Agregue nuevas detecciones o mitigaciones en función de los hallazgos; anote también cualquier brecha en la visibilidad y cualquier herramienta utilizada para la detección o la mitigación
__wf_reserved_heredar

Mejores prácticas para usar ATT&CK

La siguiente es una lista de las mejores prácticas para ATT&CK:

__wf_reserved_heredar

Utilice tácticas en las que las técnicas son ambiguas o difíciles de precisar

__wf_reserved_heredar

Compartir métodos descubiertos de detección y mitigación

__wf_reserved_heredar

Compartir tácticas y técnicas de los comportamientos observados de los atacantes

__wf_reserved_heredar

Aprovechamiento Integración de ATT&CK en las herramientas existentes

__wf_reserved_heredar

Fomentar vendedores y proveedores de servicios para agregar soporte para ATT&CK cuando sea útil

__wf_reserved_heredar

Desafíos al aprovechar ATT&CK

El uso de ATT&CK no está exento de desafíos. Es bueno tenerlos en cuenta a la hora de aprovechar ATT&CK.

__wf_reserved_heredar

No todas las técnicas son siempre maliciosas

No todas las técnicas son siempre maliciosas
__wf_reserved_heredar

Algunas técnicas se enumeran en múltiples tácticas

  • Ejemplo: Secuestro de órdenes de búsqueda de DLL (T1038)
  • Aparece en tácticas de persistencia, escalada de privilegios y evasión defensiva
  • Algunas técnicas, como esta, se pueden usar para múltiples casos de uso y son útiles en múltiples etapas del ataque
__wf_reserved_heredar

No todas las técnicas son fáciles de detectar

__wf_reserved_heredar

Algunas técnicas tienen muchos métodos posibles de ejecución

__wf_reserved_heredar

Herramientas y recursos de ATT&CK

La siguiente es una lista de herramientas y otros recursos que utilizan ATT&CK. Algunos de ellos se han mencionado anteriormente, pero se proporcionan aquí para facilitar su consulta. Para añadir algo a esta lista, envía un correo electrónico a [email protected].

__wf_reserved_heredar
El mejor lugar para empezar con ATT&CK es siempre Página web de ATT&CK de MITRE.
__wf_reserved_heredar
MITRE mantiene un blog sobre ATT&CK en Medium.
__wf_reserved_heredar
Para cualquier pregunta relacionada con ATT&CK, envía un correo electrónico a: [email protected].

Navegador ATT&CK

ATT&CK Navigator es una excelente herramienta para mapear los controles con las técnicas de ATT&CK. Se pueden agregar capas que muestren específicamente los controles de detección, los controles preventivos o incluso los comportamientos observados. Navigator puede ser utilizado en línea para maquetas o escenarios rápidos o puede ser descargado y configurarlo internamente como una solución más permanente.

__wf_reserved_heredar

Navegador MITRE ATT&CK

__wf_reserved_heredar

Ejemplo de detalles incluidos en la hoja de referencia de registro de ATT&CK de Malware Archeology

Hoja de trucos sobre el registro de ataques y ataques de Windows en Malware Archaeology

Los profesionales de confianza de Malware Archeology proporcionan una serie de hojas de trucos de registro de Windows para ayudar a los defensores a encontrar actividades maliciosas en los registros. Tienen una dedicada a encontrar técnicas de MITRE ATT&CK.

Acerca de Metta

Metta es un proyecto de código abierto de Uber que realiza simulaciones contradictorias y está alineado con MITRE ATT&CK.

__wf_reserved_heredar
__wf_reserved_heredar

Repositorio de análisis cibernético (CAR) de MITRE

Repositorio de análisis cibernético (CAR) de MITRE

MITRE tiene un recurso llamado Cyber Analytics Repository (CAR), que es un sitio de referencia para varios análisis útiles para detectar comportamientos en MITRE ATT&CK.

Caldera MITRE

Caldera es una herramienta de simulación de adversarios automatizada y de código abierto que se basa en MITRE ATT&CK.

__wf_reserved_heredar

Captura de pantalla de MITRE Caldera

__wf_reserved_heredar

ATT&CK Enterprise Matrix en un Tableau público por CYB3RPanda

Tabla de Tableau ATT&CK de Cyb3rPanda

CYB3RPanda ha cargado ATT&CK en una instancia pública de Tableau para facilitar la rotación y el filtrado.

Equipo rojo atómico de Red Canary

Atomic Red Team es una herramienta de código abierto de Red Canary para simular comportamientos adversos mapeados a MITRE ATT&CK. Más información disponible en: https://atomicredteam.io/

__wf_reserved_heredar

Ejemplo de prueba de Atomic Red Team

__wf_reserved_heredar

Visor de libros de jugadas de Palo Alto Unit 42

Visor de libros de jugadas Palo Alto Unit 42

El grupo Unit 42 de Palo Alto ha publicado un visor de estrategias gratuito que muestra los comportamientos conflictivos conocidos de un puñado de grupos de amenazas alineados con MITRE ATT&CK.

Automatización de equipos de Endgame Red

Red Team Automation es una herramienta de código abierto de Endgame que prueba el comportamiento malicioso siguiendo el modelo de MITRE ATT&CK.

__wf_reserved_heredar

Lista actual de técnicas compatibles con Red Team Automation (RTA)

__wf_reserved_heredar

Ejemplo de Anomali Cyber Watch

Anomali Cyber Watch

Este informe semanal gratuito incluye las principales novedades de seguridad y amenazas de la semana. El informe incluye técnicas de COI y ATT&CK relevantes para cada historia incluida en el informe.

__wf_reserved_heredar

Resumen

MITRE ha hecho una importante contribución a la comunidad de seguridad al proporcionarnos ATT&CK y sus herramientas y recursos relacionados. No podría haber llegado en mejor momento. A medida que los atacantes buscan formas de ser más sigilosos y evitar que las herramientas de seguridad tradicionales los detecten, los defensores se ven obligados a cambiar la forma en que abordan la detección y la defensa. ATT&CK cambia nuestra percepción de indicadores de bajo nivel, como las direcciones IP y los nombres de dominio, y hace que veamos a los atacantes y nuestras defensas desde el punto de vista de su comportamiento. Sin embargo, esta nueva percepción no significa que los resultados vayan a ser fáciles. Los días fáciles de las listas de bloqueo y los filtros simples prácticamente han pasado. El camino de detectar y prevenir las conductas es un camino mucho más difícil que el de las herramientas del pasado de «dispara y olvida». Además, no cabe duda de que los atacantes se irán adaptando a medida que los defensores vayan aportando nuevas capacidades. ATT&CK proporciona una forma de describir cualquier técnica nueva que desarrollen y, con suerte, de mantener a los defensores al día.

__wf_reserved_heredar