Introducción a MITRE ATT&CK: el marco de referencia para entender el comportamiento de los adversarios cibernéticos (actualizado a la versión 13)

Hoy les quiero compartir un tema muy interesante y relevante para el mundo de la ciberseguridad: el marco de MITRE ATT&CK. Se trata de una base de conocimientos que nos permite modelar, categorizar y detallar el comportamiento de los actores amenazantes que realizan ataques cibernéticos a lo largo de las diferentes fases del ciclo de vida de un ataque. En este post, les voy a explicar qué es MITRE, qué es el marco de ATT&CK, cómo se puede usar para investigar amenazas y mejorar la seguridad, y qué hay de nuevo en la versión 13 que se lanzó en abril de 2023.

¿Qué es MITRE?

MITRE es una organización sin fines de lucro que apoya al gobierno federal de EE. UU. en el avance de la seguridad nacional mediante la prestación de una variedad de servicios técnicos, cibernéticos e ingenieriles al gobierno. MITRE opera siete centros financiados por el gobierno federal (FFRDC) que abordan desafíos complejos y críticos en áreas como la defensa, la inteligencia, la aviación, la salud y la justicia. Uno de estos centros es el Centro Nacional de Seguridad Cibernética (NCSC), que se dedica a mejorar la ciberseguridad del país y sus aliados.

¿Qué es el marco de ATT&CK?

ATT&CK es el acrónimo de Adversarial Tactics, Techniques and Common Knowledge (Tácticas, Técnicas y Conocimiento Común del Adversario). Es una base de conocimientos creada por MITRE que contiene una taxonomía del comportamiento del adversario durante un ciclo de vida de ataque, dividido en 14 tácticas que contienen un subconjunto de técnicas y sub-técnicas más específicas. Cada técnica y sub-técnica describe cómo los actores amenazantes pueden lograr sus objetivos utilizando diferentes métodos, herramientas y recursos. El marco también incluye información sobre los grupos, campañas y software asociados con cada técnica y sub-técnica, así como formas de detectarlos y mitigarlos.

El marco se divide en tres matrices separadas: Enterprise (ataques contra redes y nubes empresariales), Mobile (ataques dirigidos a dispositivos móviles) y sistemas de control industrial (ataques dirigidos a ICS). Cada matriz tiene sus propias tácticas, técnicas y sub-técnicas adaptadas al contexto específico. El marco contiene una gran cantidad de conocimientos basados ​​en observaciones del mundo real. Para darle una idea del alcance, la iteración de abril de 2023 de ATT&CK para Enterprise contiene 196 técnicas, 411 sub-técnicas, 138 grupos, 22 campañas y 740 piezas de software / malware.

¿Cómo se puede usar el marco de ATT&CK?

El marco de ATT&CK se puede utilizar para varios propósitos relacionados con la seguridad informática, tales como:

  • Investigar amenazas y ciclos de ataque: El marco nos permite entender cómo los actores amenazantes operan y qué técnicas utilizan en cada fase del ataque. Esto nos ayuda a identificar patrones, atribuir responsabilidades, correlacionar eventos y generar inteligencia sobre las amenazas.
  • Evaluar la postura de seguridad y las brechas: El marco nos permite medir nuestra capacidad para prevenir, detectar y responder a las técnicas del adversario. Esto nos ayuda a identificar nuestras fortalezas y debilidades, así como las áreas que necesitan mejorar o reforzar.
  • Planificar mejoras de seguridad: El marco nos permite priorizar las acciones que podemos tomar para mejorar nuestra seguridad basándonos en el riesgo y el impacto potencial. Esto nos ayuda a optimizar nuestros recursos y esfuerzos para lograr una mayor protección.
  • Verificar la efectividad de las defensas: El marco nos permite probar nuestras defensas contra las técnicas del adversario mediante simulaciones o pruebas reales. Esto nos ayuda a validar nuestro nivel de seguridad y a identificar posibles fallas o vulnerabilidades.
  • Emular adversarios: El marco nos permite imitar el comportamiento del adversario utilizando las mismas técnicas y herramientas que ellos. Esto nos ayuda a entrenar nuestras habilidades, a evaluar nuestra capacidad de respuesta y a generar escenarios realistas.
  • Realizar pruebas de penetración: El marco nos permite realizar pruebas de penetración éticas utilizando las técnicas del adversario como guía. Esto nos ayuda a descubrir y explotar las debilidades de nuestros sistemas y redes, así como a generar informes y recomendaciones.

¿Qué hay de nuevo en la versión 13 del marco de ATT&CK?

La versión 13 del marco presenta algunos cambios importantes, como la adición de guías de detección detalladas a algunas técnicas en ATT&CK para Enterprise, fuentes de datos móviles y dos nuevos tipos de registros de cambios para ayudar a identificar más precisamente qué ha cambiado en ATT&CK. Algunos de los cambios más relevantes son:

  • Se agregaron guías de detección detalladas a algunas técnicas en ATT&CK para Enterprise, que describen formas de detectar el comportamiento del adversario utilizando fuentes y componentes de datos específicos, así como pseudocódigo y ejemplos analíticos.
  • Se introdujeron las fuentes de datos móviles a ATT&CK para Mobile, que describen los tipos de datos que se pueden recopilar desde dispositivos móviles para detectar las técnicas del adversario, así como los desafíos y limitaciones asociados con cada fuente.
  • Se cambiaron los nombres de algunas tácticas, como Credential Access por Credential AcquisitionDiscovery por Reconnaissance, y Lateral Movement por Lateral Movement and Privilege Escalation.
  • Se agregaron nuevas técnicas y sub-técnicas, como Acquire AccessAcquire Infrastructure: MalvertisingCloud Administration CommandCommand and Scripting Interpreter: Cloud APIDevice Driver DiscoveryExfiltration Over Web Service: Exfiltration to Text Storage SitesImpair Defenses: Spoof Security AlertingMasquerading: Masquerade File TypeModify Authentication Process: Network Provider DLLObfuscated Files or Information: Command ObfuscationObfuscated Files or Information: Fileless StorageRemote Services: Cloud Services, y Unsecured Credentials: Chat Messages.
  • Se eliminaron o depreciaron algunas técnicas antiguas, como Indicator Removal on Host, que se reemplazó por Indicator Removal, y se amplió su alcance para incluir entornos en la nube, y Browser Information Discovery, que se depreció debido a la falta de evidencia del uso del adversario.
  • Se reorganizaron algunas técnicas dentro de las tácticas, como Obfuscated Files or Information, que se movió de Defense Evasion a Reconnaissance.
  • Se actualizaron algunos nombres y descripciones de técnicas, sub-técnicas, grupos y software, para reflejar mejor el comportamiento del adversario y la terminología actualizada.
  • Se agregaron nuevos grupos, campañas y software al marco, como Acquire AccessCostaRicto, y Cobalt Strike.
  • Se identificaron varios grupos existentes que se ajustaban mejor a la definición de campaña que a la de grupo, y se convirtieron en campañas. Los grupos afectados fueron: G0132/CostaRicto, G0101/Frankenstein, G0014/Night Dragon, G0031/Dust Storm, G0072/HoneyBee, G0104/Sharpshooter, y G0116/Operation Wocao.
  • Se corrigieron algunos errores y problemas en los datos y la documentación del marco.

Conclusión

El marco de MITRE ATT&CK es una herramienta muy útil e importante para la seguridad informática, ya que nos permite entender el comportamiento del adversario, evaluar nuestra postura de seguridad, planificar mejoras de seguridad, verificar la efectividad de las defensas, emular adversarios y realizar pruebas de penetración. El marco se actualiza constantemente para reflejar las nuevas tendencias y amenazas en el ámbito cibernético. La versión 13 del marco introduce varios cambios significativos que debemos conocer y aprovechar. Si quieres saber más sobre el marco de ATT&CK, te recomiendo que visites el sitio web oficial o que leas el artículo oficial que describe los cambios en detalle.

Puedes seguirme en Twitter o en LinkedIn, donde comparto mis proyectos, experiencias y próximos eventos en los que estaré participando.

Gracias por leerme y hasta la próxima.