Programar una demostración

Conjunto de productos de Anomali

Los productos de seguridad basados en la inteligencia de Anomali proporcionan visibilidad sin precedentes y detección acelerada de amenazas, lo que permite a los clientes reducir el riesgo de sufrir fallos de seguridad y mejorar la productividad del equipo de seguridad.

Más información

Nuestros productos

ThreatStream

Ponga en funcionamiento su inteligencia contra amenazas en una sola plataforma para acelerar la detección de amenazas y habilitar medidas de defensa proactivas.

Match

Automatice la detección de amenazas en su red mediante la correlación continua de toda la inteligencia contra amenazas disponible con todos los registros de eventos.

Lens

Acceda al conocimiento de inteligencia contra amenazas al alcance de su mano, identifique amenazas nuevas y conocidas, y comprenda si se ha visto afectado en cuestión de segundos.

APP Store de Anomali

Un mercado único de seguridad cibernética que proporciona acceso instantáneo a un catálogo creciente de proveedores de inteligencia contra amenazas, socios de integración y herramientas de análisis de amenazas.

Más información

Ofertas del mercado

Fuentes de inteligencia contra amenazas

Realice pruebas y adquiera fuentes de inteligencia contra amenazas de los socios de Anomali: encuentre la inteligencia adecuada para su organización, industria, geografía, tipo de amenaza y mucho más.

Enriquecimiento y herramientas de análisis de amenazas

Obtenga las herramientas necesarias para aprovechar cualquier información a fin de buscar otras fuentes de datos y obtener la imagen completa de una amenaza, todo a un clic de distancia.

Socios de sistemas de seguridad

Anomali se integra sin problemas con muchos sistemas de seguridad y TI para poner en funcionamiento la inteligencia contra amenazas.

Para socios

SDK de Anomali

Conviértase en socio de la APP Store

Descripción general de los socios

Anomali ofrece ventajas competitivas y nuevas oportunidades de ingresos para los socios que buscan mejorar su cartera de productos con nuestra plataforma de inteligencia contra amenazas líder en el mercado.

Más información

Postúlese hoy mismo

Distribuidores de canal

MSSP

Integradores de sistemas

Investigación destacada

Recursos

Hojas de especificaciones

Fichas de especificaciones

Temas

¿Qué es la inteligencia contra amenazas?

Intercambio de inteligencia contra amenazas

Plataforma de inteligencia contra amenazas (TIP)

STIX y TAXII

MITRE ATT&CK

Herramientas gratuitas

Acerca de Anomali

Anomali ofrece soluciones de seguridad informática basadas en inteligencia, que incluyen ThreatStream®, Match™ y Lens™. Las empresas acuden a Anomali para mejorar la visibilidad de las amenazas, automatizar el procesamiento y la detección de ellas, y, además, acelerar su investigación, respuesta y corrección.

Más información

Anomali en el trabajo

Liderazgo

Noticias y eventos

Reconocimientos

Comuníquese con nosotros

Solicitar una demostración

Trabajos

¿Qué es ATT&CK de MITRE y cuál es su utilidad?

¿Qué es ATT&CK™ de MITRE?

MITRE presentó ATT&CK (tácticas, técnicas y conocimiento común de adversarios) en el 2013 como una forma de describir y clasificar los comportamientos adversarios con base en observaciones reales. ATT&CK es una lista estructurada de comportamientos conocidos de atacantes recopilados en tácticas y técnicas, y expresados en varias matrices, así como a través de STIX y TAXII. Debido a que esta lista es una representación bastante integral de los comportamientos que emplean los atacantes al comprometer las redes, es útil para una variedad de mediciones ofensivas y defensivas, representaciones y otros mecanismos.

Comprensión de las matrices de ATT&CK

MITRE tiene ATT&CK distribuido en algunas matrices diferentes: Enterprise, Mobile y PRE-ATT&CK. Cada una de estas matrices contiene diversas tácticas y técnicas asociadas con el contenido de la matriz.

La matriz Enterprise se compone de técnicas y tácticas que se aplican a los sistemas Windows, Linux o MacOS. Mobile contiene tácticas y técnicas que se aplican a los dispositivos móviles. PRE-ATT&CK contiene tácticas y técnicas relacionadas con lo que los atacantes hacen antes de intentar vulnerar una red o un sistema en particular.

Detalles de ATT&CK: tácticas y técnicas

Cuando se observa ATT&CK en forma de matriz, los títulos de las columnas en la parte superior son tácticas y, básicamente, categorías de técnicas. Las tácticas corresponden a qué intentan lograr los atacantes, mientras que las técnicas individuales corresponden a cómo logran esos pasos u objetivos.

ATT&CK Enterprise Matrix
Matriz ATT&CK Enterprise en https://attack.mitre.org/matrices/enterprise/

Por ejemplo, una de las tácticas es el movimiento lateral. Para que un atacante logre con éxito el movimiento lateral en una red, querrá emplear una o más de las técnicas mencionadas en la columna Movimiento lateral de la matriz de ATT&CK.

Una técnica es un comportamiento específico que busca lograr un objetivo y, a menudo, es un solo paso en una serie de actividades empleadas para completar la misión general del atacante. ATT&CK proporciona diversos detalles sobre cada técnica, incluidos una descripción, ejemplos, referencias y sugerencias de mitigación y detección.

Technique description in MITRE ATT&CK
Ejemplo de una descripción de técnica en ATT&CK de MITRE

A modo de ejemplo de cómo las tácticas y técnicas funcionan en ATT&CK, es posible que un atacante desee obtener acceso a una red e instalar un software de extracción de criptomonedas en tantos sistemas como sea posible dentro de esa red. Para lograr este objetivo general, el atacante debe realizar con éxito varios pasos intermedios. Primero, obtener acceso a la red, posiblemente a través de un Enlace de fraude electrónico (Spearphishing). A continuación, es posible que deba escalar privilegios a través de la inyección de procesos. Ahora puede obtener otras credenciales del sistema a través del vertido de credenciales y, luego, establecer la persistencia a través de la configuración de un comando de extracción para que se ejecute como una tarea programada. Luego de esto, el atacante puede ser capaz de moverse lateralmente a través de la red con Pass the Hash y propagar su software de extracción de monedas en la mayor cantidad de sistemas posible.

En este ejemplo, el atacante debió llevar a cabo con éxito cinco pasos, cada uno de los cuales representa una táctica o etapa específica de su ataque general: acceso inicial, escalamiento de privilegios, acceso a credenciales, persistencia y movimiento lateral. Utilizó técnicas específicas dentro de estas tácticas para llevar a cabo cada etapa de su ataque (enlace de fraude electrónico, inyección de procesos, vertido de credenciales, etc.).

Las diferencias entre PRE-ATT&CK y ATT&CK Enterprise

PRE-ATT&CK y ATT&CK Enterprise se combinan para formar la lista completa de tácticas que en términos generales se alinean con la cadena de ataque informático. PRE-ATT&CK se alinea principalmente con las primeras tres fases de la cadena de ataque: reconocimiento, armamentización y entrega. ATT&CK Enterprise se alinea de buena manera con las cuatro fases finales de la cadena de ataque: explotación, instalación, comando & control, y acciones en objetivos.

Cyber Kill Chain

Tácticas de PRE-ATT&CK	Tácticas de ATT&CK Enterprise
Definición de prioridad Selección de destino Recopilación de información Identificación de debilidades Seguridad de las operaciones del adversario Establecimiento y mantenimiento de la infraestructura Desarrollo personal Capacidades de desarrollo Capacidades de prueba Capacidades de montaje	Acceso inicial Ejecución Persistencia Escalamiento de privilegios Evasión de defensa Acceso a credenciales Descubrimiento Movimiento lateral Recopilación Exfiltración Comando y control

Lo que se puede hacer con ATT&CK

ATT&CK es valioso en una variedad de situaciones diarias. Cualquier actividad defensiva que haga referencia a los atacantes y a sus comportamientos puede beneficiarse de la aplicación de la taxonomía de ATT&CK. Además de ofrecer un léxico común para los defensores informáticos, ATT&CK también proporciona una base para las pruebas de penetración y la creación de equipos rojos. Esto brinda un lenguaje común para los defensores y los equipos rojos cuando se refieren a comportamientos adversarios.

Ejemplos de casos en los que puede resultar útil aplicar la taxonomía de ATT&CK:

Mapeo de controles defensivos
- Los controles defensivos pueden tener un significado comprendido en comparación con las tácticas y técnicas de ATT&CK a las que se aplican.
Búsqueda de amenazas
- Mapear las defensas a ATT&CK genera una hoja de ruta de brechas defensivas que proporcionan a los buscadores de amenazas los lugares perfectos para encontrar posibles actividades perdidas del atacante.
Detecciones e investigaciones
- El Centro de Operaciones de Seguridad (SOC) y el equipo de respuesta a incidentes pueden hacer referencia a las técnicas y tácticas de ATT&CK que se han detectado o descubierto. Esto ayuda a comprender dónde se encuentran las fortalezas y debilidades defensivas, y valida los controles de mitigación y detección, y puede descubrir configuraciones erróneas y otros problemas operativos.
Actores de referencia
- Los actores y grupos pueden asociarse a comportamientos específicos y definibles.

Integraciones de herramientas
- Las herramientas y los servicios dispares se pueden estandarizar en tácticas y técnicas de ATT&CK, lo que otorga cohesión a una defensa que a menudo carece de ella.
Uso compartido
- Cuando se comparte información sobre un ataque, un actor o un grupo, o sobre controles defensivos, los defensores pueden garantizar un entendimiento común mediante el uso de técnicas y tácticas de ATT&CK.
Equipo rojo/actividades de prueba de penetración
- La planificación, ejecución y presentación de informes del equipo rojo, el equipo morado y las actividades de prueba de penetración pueden utilizar ATT&CK para hablar con un lenguaje común con los defensores y los destinatarios del informe, así como entre ellos.

Uso de ATT&CK para mapear defensas y comprender las brechas

La inclinación natural de la mayoría de los equipos de seguridad en torno a ATT&CK de MITRE es intentar desarrollar algún tipo de detección o control de prevención para cada técnica en la matriz empresarial. Si bien no es una idea terrible, los matices de ATT&CK hacen que este enfoque sea un poco peligroso si no se toman en cuenta ciertas advertencias. Las técnicas de las matrices de ATT&CK a menudo se pueden realizar de diversas maneras. Por lo tanto, bloquear o detectar una única forma de realizarlas no implica necesariamente que exista cobertura para cada posible forma de ejecución de esa técnica. Esto puede dar lugar a una falsa sensación de seguridad, ya que se pensará que, puesto que una herramienta bloquea una forma de emplear una técnica, esa técnica está cubierta correctamente para la organización. Sin embargo, los atacantes igualmente pueden emplear con éxito otras maneras de emplear esa técnica sin ninguna detección ni prevención implementada.

El modo de abordar esta situación es el que se indica a continuación:

Siempre suponga que hay más de una manera de realizar una técnica de ATT&CK
Investigue y pruebe las formas conocidas de realizar técnicas específicas y mida la eficacia de las herramientas y la visibilidad en el lugar
Registre con cuidado los resultados de las pruebas para mostrar dónde existen las brechas correspondientes a esa técnica y qué formas de empleo de esa técnica pueden prevenirse o detectarse
Observe qué herramientas resultan eficaces en detecciones específicas y tome nota de las brechas donde no haya cobertura en absoluto
Manténgase al día con las nuevas formas de realizar técnicas y asegúrese de probarlas según el entorno para medir la cobertura

Por ejemplo, si un antivirus detecta la presencia de Mimikatz, eso no significa que Pass the Hash (T1075) y Pass the Ticket (T1097) están cubiertos, ya que todavía existen varias otras formas de realizar estas técnicas que no implican el uso de Mimikatz. Tenga esto en cuenta si intenta utilizar ATT&CK para mostrar cobertura defensiva en una organización.

Uso de ATT&CK con inteligencia contra amenazas informáticas

ATT&CK puede ser útil para la inteligencia contra amenazas informáticas, ya que permite describir comportamientos adversarios de manera estándar. Se puede hacer un seguimiento de los actores con asociaciones respecto a las técnicas y tácticas en ATT&CK, que se sabe que utilizan. Esto proporciona una hoja de ruta para que los defensores apliquen sus controles operativos a fin de descubrir dónde tienen debilidades frente a ciertos actores y dónde tienen sus fortalezas. La creación de entradas de ATT&CK Navigator de MITRE para actores específicos es una buena forma de visualizar las fortalezas y debilidades del entorno en comparación con esos actores o grupos. ATT&CK también está disponible como una fuente de STIX/TAXII 2.0 lo que facilita la ingesta en las herramientas existentes que respaldan esas tecnologías.

ATT&CK proporciona detalles sobre casi setenta actores y grupos, e incluye qué técnicas y herramientas se sabe que se usan basándose en informes de recurso abierto.

Lista de grupo de ATT&CK de MITRE

El proceso de creación de inteligencia en sí puede beneficiarse del uso de la lengua vernácula común de ATT&CK. Como se mencionó anteriormente, esto se puede aplicar a los actores y grupos, pero también a los comportamientos observados, como en el SOC o en las actividades de respuesta a incidentes. El malware también se puede mencionar en términos de comportamientos a través de ATT&CK. Cualquier herramienta de inteligencia contra amenazas que sea compatible con ATT&CK ayuda a que este proceso sea sencillo. La inteligencia comercial y de recurso abierto que aplica ATT&CK a cualquier comportamiento mencionado también es útil para mantener la coherencia de las cosas. La propagación de la inteligencia en las operaciones o en la gestión es, en última instancia, mucho más fácil cuando todas las partes hablan el mismo idioma en torno a los comportamientos adversarios. Si el equipo de operaciones sabe exactamente qué es la autenticación forzada y la ven mencionada en un informe de inteligencia, es posible que sepan exactamente qué acciones se deben tomar o qué controles ya están implementados en relación con esa inteligencia. La estandarización de las referencias de ATT&CK en productos de inteligencia de esta manera puede mejorar drásticamente la eficiencia y garantizar un entendimiento común.

Simulación adversaria y ATT&CK

Probar las técnicas de ATT&CK en comparación con el entorno es la mejor manera de llevar a cabo las siguientes acciones:

Probar los controles y su eficacia
Garantizar la cobertura contra diferentes técnicas
Comprender las brechas en visibilidad o protección
Validar la configuración de herramientas y sistemas
Demostrar dónde diferentes actores tendrían éxito o serían capturados en el entorno
Evitar suposiciones con los controles gracias al conocimiento exacto de qué se detecta o mitiga, y qué no

El proceso de ejecución de simulación adversaria no es externo para muchos entornos. Cuando se emplean pruebas de penetración para poner a prueba el entorno, las organizaciones participan en pruebas de simulación adversarias. Lo mismo se aplica a organizaciones que tienen equipos rojos internos o que realizan compromisos con equipos morados. La aplicación de las actividades de estos compromisos a las técnicas de ATT&CK eleva la comprensión de los resultados por parte de los defensores. En lugar de informar fallas para detectar ciertas actividades, los informes de las pruebas de penetración y los equipos rojos pueden contener un mejor contexto para aplicar sus actividades directamente a los controles operativos, a las herramientas defensivas y a los procedimientos. Esto hace que sea más fácil para los defensores tomar las medidas apropiadas como resultado de los informes.

Las simulaciones se pueden diseñar para reflejar las herramientas y técnicas que se sabe que también utilizan los actores específicos. Esto puede ser especialmente útil cuando se intenta evaluar qué tan exitosos pueden ser ciertos adversarios con respecto a los controles presentes en el entorno.

Además, hay herramientas disponibles que proporcionan mecanismos para probar ciertas técnicas directamente dentro del entorno y ya están alineados con ATT&CK. Herramientas comerciales como Verodin, SafeBreach y AttackIQ proporcionan la capacidad de realizar simulaciones adversarias alineadas con ATT&CK. Existen algunas opciones de recursos abiertos para realizar la simulación adversaria y también se alinean con ATT&CK (se mencionan a continuación). Como siempre, tenga cuidado cuando realice simulaciones adversarias en redes de producción donde el alcance de las posibles ramificaciones no se entiende completamente.

El proceso para hacer uso de estas herramientas es sencillo:

Simular: seleccione los criterios de simulación basados en las pruebas deseadas y, a continuación, ejecute la herramienta o realice la técnica manualmente
Buscar: examine los registros y los resultados de la herramienta para ver si hay evidencia de la actividad simulada; observe las expectativas faltantes con controles de detección y prevención
Detectar: agregue nuevas detecciones o mitigaciones basadas en los hallazgos. También observe cualquier brecha de visibilidad y cualquier herramienta utilizada para la detección o mitigación

Prácticas recomendadas para usar ATT&CK

A continuación, se muestra una lista de las prácticas recomendadas para ATT&CK.

Utilice tácticas cuando las técnicas sean ambiguas o difíciles de establecer
Siga investigaciones externas en torno a detecciones y mitigaciones

Comparta los métodos descubiertos de detección y mitigación
Comparta las tácticas y técnicas de los comportamientos observados del atacante
Aproveche la integración de ATT&CK en las herramientas existentes
Motive a los proveedores de servicios para que agreguen compatibilidad con ATT&CK donde sea útil

Desafíos cuando se utiliza ATT&CK

El uso de ATT&CK no está libre de desafíos. Es bueno tener esto en cuenta cuando se utiliza ATT&CK.

No todas las técnicas son siempre maliciosas
- Ejemplo: Datos de la unidad compartida de la red (T1039)
- Clave para la detección: ¿Cómo se aplica esta técnica?
No todas las técnicas son fáciles de detectar
- Ejemplo: Enlace de fraude electrónico (T1192)
- Clave para la detección: Otros eventos relacionados con la recepción de correos electrónicos

Algunas técnicas tienen muchos métodos de ejecución posibles
- Ejemplo: Vertido de credenciales (T1003)
- Clave para la detección: Desarrolle métodos conocidos de aplicación de la técnica y etiquételos como Vertido de credenciales
- MITRE lanzará subtécnicas para ayudar a abordar esto
Algunas técnicas se incluyen en diversas tácticas
- Ejemplo: Secuestro de orden de búsqueda de DLL (T1038)
- Se muestra en las tácticas de persistencia, escalamiento de privilegios y evasión de defensa
- Algunas técnicas, como esta, se pueden utilizar para varios casos de uso y son útiles en varias etapas de ataque

Recursos y herramientas de ATT&CK

A continuación, se muestra una lista de herramientas y otros recursos que utilizan ATT&CK. Algunos de ellos se mencionaron anteriormente, pero se proporcionan aquí para su referencia rápida. Para agregar algo a esta lista, envíe un correo electrónico a marketing@anomali.com.

El mejor lugar para comenzar con ATT&CK es siempre la página web de ATT&CK de MITRE.
MITER mantiene un blog sobre ATT&CK en Medium.
Existe una convención de seguridad dedicada a ATT&CK.
Si tiene preguntas sobre ATT&CK, envíe un correo electrónico a: attack@mitre.org.

ATT&CK Navigator

ATT&CK Navigator es una gran herramienta para usar en el mapeo de controles respecto a las técnicas de ATT&CK. Se pueden agregar capas que muestren controles de detección específicos, controles preventivos o, incluso, comportamientos observados. Navigator se puede utilizar en línea para crear simulaciones o situaciones rápidas, o bien se puede descargar e instalar internamente como una solución más permanente.

ATT&CK Navigator de MITRE

Metta de Uber

Metta es un proyecto de recurso abierto de Uber que realiza una simulación adversaria y está alineado con ATT&CK de MITRE.

Caldera de MITRE

Caldera es una herramienta de simulación adversaria automatizada de recurso abierto que se basa en ATT&CK de MITRE.

Captura de pantalla de Caldera de MITRE

Atomic Red Team de Red Canary

Atomic Red Team es una herramienta de recurso abierto de Red Canary para simular comportamientos adversarios mapeados en ATT&CK de MITRE. Más información disponible en: https://atomicredteam.io/

Ejemplo de prueba de Atomic Red Team

Red Team Automation de Endgame

Red Team Automation es una herramienta de recurso abierto de Endgame que prueba el comportamiento malicioso modelado en ATT&CK de MITRE.

Lista actual de técnicas compatibles con Red Team Automation (RTA)

Hoja de ayuda de registro de ATT&CK en Windows de Malware Archeology

La bondadosa empresa Malware Archeology proporciona varias hojas de ayuda de registro de Windows para asistir a los defensores en su búsqueda de actividades maliciosas en los registros. Tienen una dedicada a la búsqueda de técnicas de ATT&CK de MITRE.

Ejemplo de detalles incluidos en la hoja de ayuda de registro de ATT&CK de Malware Archeology

Cyber Analytics Repository (CAR) de MITRE

MITRE tiene un recurso llamado Cyber Analytics Repository (CAR) que es un sitio de referencia con varios análisis útiles para detectar comportamientos en ATT&CK de MITRE.

Cyber Analytics Repository (CAR) de MITRE

Tableau de ATT&CK mediante Cyb3rPanda

Cyb3rPanda cargó ATT&CK en una instancia pública de Tableau en un formato dinámico fácil de filtrar.

Matriz ATT&CK Enterprise en una instancia pública de Tableau mediante Cyb3rPanda

Visualizador de guías de Unit 42 de Palo Alto

El grupo Unit 42 de Palo Alto lanzó un visor de guía gratuito que muestra comportamientos adversarios conocidos de varios grupos de amenazas alineados con ATT&CK de MITRE.

Visualizador de guías de Unit 42 de Palo Alto

Anomali Cyber Watch

El resumen semanal de amenazas de Anomali es un informe semanal gratuito sobre los desarrollos clave de Anomali Cyber Watch. El informe incluye IOC relevantes y técnicas de ATT&CK para cada historia del resumen.

Ejemplo del resumen semanal de amenazas de Anomali

Resumen

MITRE realizó una contribución significativa a la comunidad de seguridad y nos proporcionó ATT&CK junto con sus herramientas y recursos relacionados. No podría haber llegado a un mejor momento. A medida que los atacantes encuentran maneras de ser más sigilosos y evitar la detección por parte de herramientas de seguridad tradicionales, los defensores se dieron cuenta de que debían cambiar la forma en que abordan la detección y la defensa. ATT&CK cambia nuestra percepción de los indicadores de bajo nivel, como direcciones IP y nombres de dominio, y nos hace ver a los atacantes y a nuestras defensas a través de la lente del comportamiento. Sin embargo, esta nueva percepción no significa que los resultados se obtendrán fácilmente. Los días sencillos con listas de bloques y filtros simples son cosa del pasado. La ruta de la detección y la prevención de comportamientos es mucho más difícil que la de las herramientas autodirigidas del pasado. Además, los atacantes ciertamente se adaptarán a medida que los defensores generen nuevas capacidades que se deban afrontar. ATT&CK proporciona una manera de describir las nuevas técnicas que desarrollan y, con suerte, mantener a los defensores al corriente.