¿Qué es MITRE ATT&CK?

MITRE ATT&CK (tácticas, técnicas y saber generalizado enemigos) es un marco de trabajo, un conjunto de matrices de datos y una herramienta de evaluación desarrollados por MITRE Corporation para ayudar a las organizaciones a comprender la idoneidad de su seguridad y descubrir vulnerabilidades en sus defensas.

El marco de trabajo de MITRE ATT&CK, desarrollado en 2013, utiliza observaciones del mundo real para documentar métodos, tácticas y técnicas de ataque específicos. A medida que salen a la luz nuevas vulnerabilidades y superficies de ataque, estas se añaden al marco de trabajo de ATT&CK, que se encuentra en constante evolución. En los últimos años, el marco de trabajo de MITRE ATT&CK y sus matrices se han convertido en un estándar para las herramientas tanto de conocimiento como de corrección relacionadas con el comportamiento de los atacantes.

Las matrices de ATT&CK las usa una gran variedad de profesionales de TI y seguridad, incluidos los equipos rojos que desempeñan el papel de atacantes o competidores; los buscadores de amenazas e ingenieros de desarrollo de productos de seguridad; los equipos de inteligencia para la detección de amenazas y los profesionales de gestión de riesgos.

Los equipos rojos utilizan el marco de trabajo de MITRE ATT&CK como modelo que les ayuda a desvelar las superficies de ataque y las vulnerabilidades en los sistemas y dispositivos corporativos, así como a obtener información para mejorar la capacidad de mitigar los ataques una vez se producen. Esta información incluye cómo los atacantes han obtenido acceso, cómo se desplazan dentro de la red afectada y qué métodos se utilizan para evadir la detección. Este conjunto de herramientas permite a las organizaciones conocer mejor su situación de seguridad general, identificar y probar las deficiencias en las defensas, y priorizar las posibles deficiencias de seguridad en función del riesgo que suponen para la organización.

Los buscadores de amenazas utilizan el marco de trabajo de ATT&CK para encontrar correlaciones entre las técnicas específicas que los atacantes utilizan contra las defensas, así como para comprender la visibilidad de los ataques dirigidos a sus defensas, tanto en los terminales como en todo el perímetro de la red.

Los desarrolladores e ingenieros de plataformas de seguridad utilizan MITRE ATT&CK como herramienta para evaluar la eficacia de sus productos, descubrir debilidades antes desconocidas y modelar cómo se comportarán sus productos durante el ciclo de vida de un ciberataque.

MITRE ATT&CK es la abreviatura de «tácticas, técnicas y saber generalizado enemigos de MITRE». El marco de trabajo de MITRE ATT&CK es un repositorio seleccionado que incluye matrices que proporcionan un modelo para los comportamientos de los ciberataques. El marco de trabajo se suele presentar en forma de tabla, con columnas que representan las tácticas (o resultados deseados) utilizadas durante la vida de un ataque y filas que representan las técnicas utilizadas para lograr los objetivos tácticos. El marco de trabajo también documenta el uso de las técnicas y otros metadatos vinculados a técnicas concretas.

El marco de trabajo de MITRE ATT&CK es fruto de un experimento de MITRE que emulaba tanto al atacante como al defensor para ayudar a comprender cómo se producen los ataques y mejorar la detección posterior a la vulneración usando telemetría y técnicas de análisis del comportamiento. Para comprender mejor la capacidad del sector a la hora de detectar comportamientos enemigos documentados, crearon el marco de trabajo ATT&CK como herramienta para clasificar estos comportamientos.

Actualmente, el marco de trabajo de ATT&CK se compone de cuatro matrices principales. Las matrices de ATT&CK de preparación y para la empresa están relacionadas con ataques a la infraestructura empresarial.

Matriz de ATT&CK de preparación: muchas de las actividades (como el reconocimiento y el desarrollo de recursos) que llevan a cabo los ciberdelincuentes antes de comprometer una empresa se suelen realizar fuera de la visibilidad de la organización, por lo que estas tácticas y técnicas previas al ataque son sumamente difíciles de detectar en ese momento. Por ejemplo, los ciberatacantes pueden aprovechar la información disponible sin reservas en Internet, las relaciones que la organización tiene con otras organizaciones ya comprometidas u otros métodos para intentar acceder. La matriz de ATT&CK de preparación permite a las organizaciones defensoras supervisar y comprender mejor estas actividades anteriores al ataque que se producen fuera de su perímetro de red.

Matriz de ATT&CK para empresas: el modelo de la matriz de ATT&CK para empresas detalla las acciones que los ciberatacantes pueden emprender para comprometer una empresa y llevar a cabo sus actividades dentro de una red empresarial. La matriz contiene tácticas y técnicas específicas para una amplia variedad de plataformas, como Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, software como servicio (SaaS), infraestructura como servicio (IaaS), redes y contenedores. En un primer momento, la matriz de ATT&CK de preparación formaba parte de la matriz de ATT&CK para empresas, ya que también se centra en los intentos de comprometer la infraestructura empresarial. El marco de trabajo para empresas ayuda a las organizaciones a priorizar sus defensas de red para centrarse en las que suponen el mayor riesgo para la empresa específica.

Matriz de ATT&CK para móviles: la matriz de ATT&CK para móviles describe las tácticas y técnicas utilizadas para comprometer tanto los dispositivos móviles iOS como los Android. Con este fin, la matriz de ATT&CK para móviles se basa en el catálogo «Mobile Threat Catalog» de NIST y, en el momento de escribir estas líneas, enumera una docena de tácticas y más de cien técnicas que se han utilizado para vulnerar dispositivos móviles y lograr los objetivos nefastos que los ciberdelincuentes querían conseguir. Además, la matriz de ATT&CK para móviles enumera los efectos basados en la red: las tácticas y técnicas que se pueden usar sin necesidad de acceder al dispositivo en sí.

Matriz de ATT&CK para ICS: la matriz más reciente de la familia ATT&CK es la de MITRE ATT&CK para sistemas de control industrial (ICS), parecida a la de ATT&CK para empresas, pero con la diferencia de que está dirigida específicamente a los sistemas de control industrial, como redes eléctricas, fábricas, factorías y otras organizaciones que dependen de maquinaria, dispositivos, sensores y redes interconectados.

Todas las matrices incluyen descripciones técnicas detalladas de las técnicas usadas para cada táctica durante todo el ciclo de vida del ataque enemigo, los activos y los sistemas a los que se dirige cada técnica. Además, indica los enfoques de mitigación y contraataque para cada técnica, los análisis de detección utilizados para desvelarlas y ejemplos del uso en el mundo real.

Al consultar las matrices, las tácticas se presentan de forma lineal para describir el ciclo de vida del ataque, empezando por el punto de reconocimiento hasta el objetivo final, tanto si el objetivo es el robo de información como el cifrado de archivos con fines de programas de secuestro, ambos u otra acción maliciosa.

La principal ventaja del marco de trabajo de ATT&CK es que las organizaciones pueden comprender cómo operan los adversarios y los pasos que pueden planificar para acceder por primera vez, detectar datos, desplazarse lateralmente y robar datos. Esta información permite a los equipos ver las actividades desde la perspectiva del atacante, lo que puede llevar a entender mejor las motivaciones y las tácticas. En última instancia, las organizaciones pueden aprovechar el hecho de entenderlas y el conocimiento adquirido para identificar deficiencias en su situación de seguridad y mejorar la detección y respuesta a las amenazas, ya que permite a los equipos predecir los siguientes movimientos de los atacantes para que la corrección se pueda llevar a cabo rápidamente. En entornos deportivos, a menudo se dice que la mejor defensa es un buen ataque. En el caso de la ciberseguridad, comprender lo que el ataque está implementando puede ser de gran ayuda para la defensa de la red, los dispositivos y los usuarios.

Además, en el entorno de trabajo actual, en el que hay una grave carencia de conocimientos sobre ciberseguridad, los marcos de trabajo pueden ayudar al personal de seguridad subalterno o recién contratado, dado que proporcionan los conocimientos y las herramientas de investigación que necesitan para ponerse al día rápidamente sobre cualquier amenaza aprovechando el conocimiento colectivo de todos los predecesores profesionales de la seguridad que han contribuido a las matrices del marco de trabajo de MITRE ATT&CK.

A medida que las matrices de ATT&CK continúan creciendo, tanto en número como en tamaño, se han vuelto cada vez más complejas. La cantidad de combinaciones y permutaciones de tácticas y técnicas en el marco de trabajo, aunque sean increíblemente exhaustivas, pueden resultar abrumadoras debido a la gran cantidad de datos que hay que procesar.

Por ejemplo, actualmente hay más de 400 técnicas o patrones de ataque diferentes descritos en las catorce tácticas enumeradas en la matriz ATT&CK para empresas. Muchas de estas técnicas también contienen técnicas secundarias que incrementan aún más el número de permutaciones. Muchas organizaciones no han automatizado la asignación de todos esos datos a su infraestructura de seguridad actual, una tarea que puede ser colosal.

En un estudio reciente de la universidad UC Berkely se descubrió que, aunque casi todas las organizaciones utilizan el marco de trabajo para etiquetar eventos de red con diversos productos de seguridad, ni siquiera la mitad de los encuestados han automatizado los cambios en las políticas de seguridad que indicaba el marco de trabajo.

Existen otros desafíos, como la dificultad de correlacionar los eventos basados en la nube con los locales o la incapacidad de correlacionar los eventos de dispositivos móviles con los de terminales.

Un informe reciente de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de Estados Unidos ofrece una lista de prácticas recomendadas para que las organizaciones utilicen el marco de trabajo de MITRE ATT&CK para asignar ataques a técnicas de corrección y protección. Aunque el estudio reveló que las grandes organizaciones empresariales estaban adoptando el marco de trabajo, la mayoría de los usuarios no cree que sus productos de seguridad actuales puedan detectar todas las amenazas enumeradas en las matrices de ATT&CK y que se encuentran en su infraestructura.