¿Qué es MITRE ATT&CK™?
MITRA introducido AT&CK (Tácticas, técnicas y conocimientos comunes de confrontación) en 2013 como una forma de describir y categorizar los comportamientos contradictorios basándose en observaciones del mundo real. ATT&CK es una lista estructurada de los comportamientos conocidos de los atacantes que se han compilado en tácticas y técnicas y se han expresado en un puñado de matrices, así como mediante STIX/TAXI. Dado que esta lista es una representación bastante completa de los comportamientos que emplean los atacantes cuando comprometen las redes, es útil para una variedad de medidas, representaciones y otros mecanismos ofensivos y defensivos.
Comprensión de las matrices ATT&CK
MITRE ha dividido ATT&CK en varias matrices diferentes: Empresarial, Móvil, y ANTES DEL ATAQUE. Cada una de estas matrices contiene varias tácticas y técnicas asociadas con el tema de esa matriz.
La matriz empresarial está compuesta por técnicas y tácticas que se aplican a los sistemas Windows, Linux y/o macOS. Los dispositivos móviles contienen tácticas y técnicas que se aplican a los dispositivos móviles. PRE-ATT&CK contiene tácticas y técnicas relacionadas con lo que hacen los atacantes delante de intentan explotar una red o un sistema objetivo en particular.
Los detalles de ATT&CK: tácticas y técnicas
Al mirar ATT&CK en forma de matriz, los títulos de las columnas de la parte superior son táctica y son esencialmente categorías de técnicas. Las tácticas son qué los atacantes están tratando de lograr, mientras que las técnicas individuales son cómo cumplen esos pasos u objetivos.
Por ejemplo, una de las tácticas es Movimiento lateral. Para que un atacante logre el movimiento lateral en una red con éxito, querrá emplear una o más de las técnicas que figuran en la columna Movimiento lateral de la matriz ATT&CK.
UN técnica es un comportamiento específico para lograr un objetivo y, a menudo, es un solo paso en una serie de actividades empleadas para completar la misión general del atacante. ATT&CK proporciona muchos detalles sobre cada técnica, incluida una descripción, ejemplos, referencias y sugerencias para la mitigación y la detección.
Como ejemplo de cómo funcionan las tácticas y técnicas en ATT&CK, es posible que un atacante desee acceder a una red e instalar software de minería de criptomonedas en tantos sistemas como sea posible dentro de esa red. Para lograr este objetivo general, el atacante debe realizar con éxito varios pasos intermedios. En primer lugar, acceda a la red, posiblemente a través de un Enlace de suplantación de identidad. A continuación, es posible que tengan que aumentar sus privilegios mediante Inyección de procesos. Ahora pueden obtener otras credenciales del sistema a través de Dumping de credenciales y, a continuación, establecer la persistencia configurando el script de minería para que se ejecute como Tarea programada. Una vez logrado esto, el atacante podría moverse lateralmente a través de la red con Pasa el hachís y difunda su software de minería de monedas en tantos sistemas como sea posible.
En este ejemplo, el atacante tuvo que ejecutar con éxito cinco pasos, cada uno de los cuales representa un táctica o etapa de su ataque general: Acceso inicial, Escalación de privilegios, Acceso a credenciales, Persistencia, y Movimiento lateral. Usaron cosas específicas técnicas dentro de estas tácticas para completar cada etapa de su ataque (enlace de suplantación de identidad, inyección de procesos, descarga de credenciales, etc.).
Las diferencias entre PRE-ATT&CK y ATT&CK Enterprise
PRE-ATT&CK y ATT&CK Enterprise se combinan para formar la lista completa de tácticas que se alinean aproximadamente con las Cyber Kill Chain. PRE-ATT&CK se alinea principalmente con las tres primeras fases de la cadena de exterminio: reconocimiento, armamento y lanzamiento. ATT&CK Enterprise se adapta perfectamente a las cuatro fases finales de la cadena de exterminio: explotación, instalación, mando y control, y acciones en función de los objetivos.
¿Qué se puede hacer con ATT&CK?
ATT&CK es valioso en una variedad de entornos cotidianos. Cualquier actividad defensiva que haga referencia a los atacantes y sus comportamientos puede resultar beneficiosa si se aplica la taxonomía de ATT&CK. Además de ofrecer un léxico común para los ciberdefensores, ATT&CK también proporciona una base para las pruebas de penetración y el trabajo en equipo rojo. De este modo, los defensores y los miembros del equipo rojo utilizan un lenguaje común para referirse a las conductas hostiles.
Ejemplos en los que puede resultar útil aplicar la taxonomía de ATT&CK:
Mapeo de los controles defensivos
Los controles defensivos pueden tener un significado bien entendido cuando se comparan con las tácticas y técnicas de ATT&CK a las que se aplican.
Integraciones de herramientas
Diferentes herramientas y servicios pueden estandarizar las tácticas y técnicas de ATT&CK, lo que dota de cohesión a una defensa que a menudo falta.
Búsqueda de amenazas
Al asignar las defensas a ATT&CK, se obtiene una hoja de ruta con las brechas defensivas que proporcionan a los cazadores de amenazas los lugares perfectos para encontrar la actividad de los atacantes que no han detectado.
Compartir
Al compartir información sobre un ataque, un actor o un grupo, o sobre los controles defensivos, los defensores pueden garantizar un entendimiento común mediante el uso de técnicas y tácticas de ATT&CK.
Detecciones e investigaciones
El Centro de Operaciones de Seguridad (SOC) y el equipo de respuesta a incidentes pueden consultar las técnicas y tácticas de ATT&CK que se hayan detectado o descubierto. Esto ayuda a comprender cuáles son los puntos fuertes y débiles de la defensa y a validar los controles de mitigación y detección, y puede descubrir errores de configuración y otros problemas operativos.
Integraciones de herramientas
La planificación, la ejecución y la denuncia de las actividades del equipo rojo, el equipo morado y las pruebas de penetración pueden utilizar ATT&CK para hablar un lenguaje común con los defensores y los destinatarios de las denuncias, así como entre ellos.
Referenciando actores
Los actores y los grupos se pueden asociar con comportamientos específicos y definibles.
Uso de ATT&CK para mapear las defensas y comprender las brechas
La tendencia natural de la mayoría de los equipos de seguridad al analizar MITRE ATT&CK es tratar de desarrollar algún tipo de control de detección o prevención para cada técnica de la matriz empresarial. Si bien no es una mala idea, los matices de ATT&CK hacen que este enfoque sea un poco peligroso si no se tienen en cuenta ciertas advertencias. Las técnicas de las matrices ATT&CK a menudo se pueden realizar de diversas maneras. Por lo tanto, bloquear o detectar una única forma de ejecutarlas no significa necesariamente que haya cobertura para todas las formas posibles de ejecutar esa técnica. Esto puede llevar a una falsa sensación de seguridad al pensar que, dado que una herramienta bloquea una forma de emplear una técnica, la organización la cubre adecuadamente. Sin embargo, los atacantes aún pueden emplear con éxito otras formas de emplear esa técnica sin ningún tipo de detección o prevención.
La forma de abordar este problema es la siguiente:
Por ejemplo, si el antivirus detecta la presencia de Mimikatz, eso no significa que Pass the Hash (T1075) y Pass the Ticket (T1097) estén cubiertos, ya que todavía hay otras formas de realizar estas técnicas que no implican el uso de Mimikatz. Ten esto en cuenta si intentas usar ATT&CK para mostrar una cobertura defensiva en una organización.
Uso de ATT&CK con inteligencia de ciberamenazas
ATT&CK puede ser útil para la inteligencia de ciberamenazas, ya que permite describir los comportamientos de los adversarios de forma estándar. Se puede rastrear a los actores asociándolos con las técnicas y tácticas de ATT&CK que se sabe que utilizan. Esto proporciona una hoja de ruta que los defensores pueden aplicar en contra de sus controles operativos para ver cuáles son sus puntos débiles frente a ciertos actores y cuáles son sus puntos fuertes. Crear entradas en MITRE ATT&CK Navigator para actores específicos es una buena manera de visualizar las fortalezas y debilidades del entorno frente a esos actores o grupos. ATT&CK también está disponible como Alimentación STIX/TAXII 2.0 lo que facilita la asimilación de las herramientas existentes que admiten esas tecnologías.
ATT&CK ofrece detalles sobre casi setenta actores y grupos, incluidas las técnicas y herramientas que se sabe que utilizan basándose en informes de código abierto.
El proceso de creación de inteligencia en sí mismo puede beneficiarse del uso de la lengua vernácula común de ATT&CK. Como se mencionó, esto puede aplicarse a actores y grupos, pero también a los comportamientos observados desde el SOC o a las actividades de respuesta a incidentes. También se puede hacer referencia al malware en términos de comportamientos a través de ATT&CK. Cualquier herramienta de inteligencia de amenazas compatible con ATT&CK ayuda a facilitar este proceso. La inteligencia comercial y de código abierto que aplica ATT&CK a cualquiera de los comportamientos mencionados también es útil para mantener la coherencia. En última instancia, difundir información a las operaciones o a la dirección es mucho más fácil cuando todas las partes hablan el mismo idioma en relación con las conductas contradictorias. Si las operaciones saben exactamente qué Autenticación forzada si se menciona y ve que se menciona en un informe de inteligencia, es posible que sepan exactamente qué medidas se deben tomar o qué controles ya existen con respecto a esa información de inteligencia. De este modo, estandarizar las referencias de ATT&CK en los productos de inteligencia puede mejorar considerablemente la eficiencia y garantizar un entendimiento común.
Simulación adversarial y ATT&CK
Probar las técnicas de ATT&CK comparándolas con el medio ambiente es la mejor manera de:
El proceso de realizar una simulación contradictoria no es ajeno a muchos entornos. Al emplear evaluadores de penetración para probar el entorno, las organizaciones recurren a pruebas de simulación contradictoria. Lo mismo se aplica a las organizaciones que tienen equipos rojos internos o que llevan a cabo contrataciones de equipos morados. La aplicación de las actividades de estos combates a las técnicas de ATT&CK mejora la comprensión de los resultados por parte de los defensores. En lugar de denunciar los fallos a la hora de detectar determinadas actividades, las denuncias realizadas por equipos encargados de las pruebas abiertas y los equipos rojos pueden ofrecer un mejor contexto para aplicar sus actividades directamente a los controles operativos, las herramientas defensivas y los procedimientos. Esto facilita que los defensores tomen las medidas adecuadas como resultado de las denuncias.
Las simulaciones también se pueden diseñar para reflejar herramientas y técnicas que se sabe que utilizan actores específicos. Esto puede resultar especialmente útil cuando se trata de evaluar el éxito de ciertos adversarios contra los controles presentes en el entorno.
Además, hay herramientas disponibles que proporcionan mecanismos para probar ciertas técnicas directamente en el entorno y que ya están alineadas con ATT&CK. Herramientas comerciales como Verodín, Infracción segura, y IQ de ataque brindan la capacidad de realizar simulaciones adversas alineadas con ATT&CK. Hay algunas opciones de código abierto para realizar simulaciones contradictorias y también para alinearlas con ATT&CK (se enumeran a continuación). Como siempre, ten cuidado al realizar simulaciones contradictorias en redes de producción en las que no se comprenda completamente el alcance de las posibles ramificaciones.
El proceso para utilizar estas herramientas es sencillo:
- Simular — Elija los criterios de simulación en función de las pruebas deseadas y, a continuación, ejecute la herramienta o realice la técnica manualmente
- Cazar — Examine los registros y los resultados de las herramientas en busca de evidencia de la actividad simulada; anote las expectativas incumplidas con controles preventivos o de detección
- Detectar — Agregue nuevas detecciones o mitigaciones en función de los hallazgos; anote también cualquier brecha en la visibilidad y cualquier herramienta utilizada para la detección o la mitigación
Mejores prácticas para usar ATT&CK
La siguiente es una lista de las mejores prácticas para ATT&CK:
Utilice tácticas en las que las técnicas son ambiguas o difíciles de precisar
Compartir métodos descubiertos de detección y mitigación
Compartir tácticas y técnicas de los comportamientos observados de los atacantes
Aprovechamiento Integración de ATT&CK en las herramientas existentes
Seguir investigación externa sobre detecciones y mitigaciones
Fomentar vendedores y proveedores de servicios para agregar soporte para ATT&CK cuando sea útil
Desafíos al aprovechar ATT&CK
El uso de ATT&CK no está exento de desafíos. Es bueno tenerlos en cuenta a la hora de aprovechar ATT&CK.
No todas las técnicas son siempre maliciosas
- Ejemplo: Datos de la unidad compartida en red (T1039)
- Clave para la detección: ¿Cómo se invoca esta técnica?
Algunas técnicas se enumeran en múltiples tácticas
- Ejemplo: Secuestro de órdenes de búsqueda de DLL (T1038)
- Aparece en tácticas de persistencia, escalada de privilegios y evasión defensiva
- Algunas técnicas, como esta, se pueden usar para múltiples casos de uso y son útiles en múltiples etapas del ataque
No todas las técnicas son fáciles de detectar
- Ejemplo: Enlace de suplantación de identidad (T1192)
- Clave para la detección: Otros eventos relacionados con la recepción por correo electrónico
Algunas técnicas tienen muchos métodos posibles de ejecución
- Ejemplo: Dumping de credenciales (T1003)
- Clave para la detección: Desarrolle métodos conocidos para evocar la técnica y etiquételos todos como Credential Dumping
- MITRE lanzará subtécnicas para ayudar a solucionar este problema
Herramientas y recursos de ATT&CK
La siguiente es una lista de herramientas y otros recursos que utilizan ATT&CK. Algunos de ellos se han mencionado anteriormente, pero se proporcionan aquí para facilitar su consulta. Para añadir algo a esta lista, envía un correo electrónico a [email protected].
Navegador ATT&CK
ATT&CK Navigator es una excelente herramienta para mapear los controles con las técnicas de ATT&CK. Se pueden agregar capas que muestren específicamente los controles de detección, los controles preventivos o incluso los comportamientos observados. Navigator puede ser utilizado en línea para maquetas o escenarios rápidos o puede ser descargado y configurarlo internamente como una solución más permanente.
Hoja de trucos sobre el registro de ataques y ataques de Windows en Malware Archaeology
Los profesionales de confianza de Malware Archeology proporcionan una serie de hojas de trucos de registro de Windows para ayudar a los defensores a encontrar actividades maliciosas en los registros. Tienen una dedicada a encontrar técnicas de MITRE ATT&CK.
Acerca de Metta
Metta es un proyecto de código abierto de Uber que realiza simulaciones contradictorias y está alineado con MITRE ATT&CK.
Repositorio de análisis cibernético (CAR) de MITRE
MITRE tiene un recurso llamado Cyber Analytics Repository (CAR), que es un sitio de referencia para varios análisis útiles para detectar comportamientos en MITRE ATT&CK.
Caldera MITRE
Caldera es una herramienta de simulación de adversarios automatizada y de código abierto que se basa en MITRE ATT&CK.
Tabla de Tableau ATT&CK de Cyb3rPanda
CYB3RPanda ha cargado ATT&CK en una instancia pública de Tableau para facilitar la rotación y el filtrado.
Equipo rojo atómico de Red Canary
Atomic Red Team es una herramienta de código abierto de Red Canary para simular comportamientos adversos mapeados a MITRE ATT&CK. Más información disponible en: https://atomicredteam.io/
Visor de libros de jugadas Palo Alto Unit 42
El grupo Unit 42 de Palo Alto ha publicado un visor de estrategias gratuito que muestra los comportamientos conflictivos conocidos de un puñado de grupos de amenazas alineados con MITRE ATT&CK.
Automatización de equipos de Endgame Red
Red Team Automation es una herramienta de código abierto de Endgame que prueba el comportamiento malicioso siguiendo el modelo de MITRE ATT&CK.
Anomali Cyber Watch
Este informe semanal gratuito incluye las principales novedades de seguridad y amenazas de la semana. El informe incluye técnicas de COI y ATT&CK relevantes para cada historia incluida en el informe.
Resumen
MITRE ha hecho una importante contribución a la comunidad de seguridad al proporcionarnos ATT&CK y sus herramientas y recursos relacionados. No podría haber llegado en mejor momento. A medida que los atacantes buscan formas de ser más sigilosos y evitar que las herramientas de seguridad tradicionales los detecten, los defensores se ven obligados a cambiar la forma en que abordan la detección y la defensa. ATT&CK cambia nuestra percepción de indicadores de bajo nivel, como las direcciones IP y los nombres de dominio, y hace que veamos a los atacantes y nuestras defensas desde el punto de vista de su comportamiento. Sin embargo, esta nueva percepción no significa que los resultados vayan a ser fáciles. Los días fáciles de las listas de bloqueo y los filtros simples prácticamente han pasado. El camino de detectar y prevenir las conductas es un camino mucho más difícil que el de las herramientas del pasado de «dispara y olvida». Además, no cabe duda de que los atacantes se irán adaptando a medida que los defensores vayan aportando nuevas capacidades. ATT&CK proporciona una forma de describir cualquier técnica nueva que desarrollen y, con suerte, de mantener a los defensores al día.