¿Para qué nos sirve el MITRE ATT&CK? Existen cuatro usos fundamentales:

‍

• El primero es la detección y analítica. Es importante que podamos detectar cómo se mueve un atacante y validar cómo lo analizamos.

‍

• También nos sirve para la inteligencia de amenazas, pues dentro de las técnicas y los procedimientos que se utilizan también se documenta qué grupos estarían involucrados en estos. Los grupos maliciosos que “andan por ahí” los podemos documentar en esa matriz.

‍

• Es posible realizar actividades de Red Team.

‍

• Sirve para realizar ataques a nosotros mismos y ver cómo estamos posicionados dentro de esta matriz.

‍

Es importante recordar que MITRE ATT&CK no está construido con base en inteligencia, sino en conocimiento y visibilidad. No examina solo las dependencias de la cadena de ataque, sino el contexto o las ponderaciones en términos de qué priorizar.

‍

Fases de un ciberataque

‍

MITRE ATT&CK es una herramienta para enseñar los procedimientos que ejecuta el malware en sus sistemas. 

‍

Generalmente, las fases de los ciberataques incluyen:

‍

• Vector de ataque: este es el canal elegido por el atacante para llegar al sistema de la víctima. Puede ser, incluso, sobornar a un empleado o infiltrarse en una empresa para ejecutar malware o robar información.

‍

• Explotación: es el uso de vulnerabilidades para obtener acceso al sistema de la víctima, desde fallos criptográficos, fallos de programación y de configuración.

‍

• Post Explotación: este apartado reconoce los movimientos laterales o la propagación a través de la red, conexión con servidores maliciosos, descarga de malware o archivos sospechosos, y encriptación de archivos (clásico del ransomware).

‍

• Exfiltración de datos: si entendemos al MITRE ATT&CK, se notará que el framework también especifica cuándo un malware roba información del sistema antes de ejecutar el payload.

‍

• Payload: se refiere a las tareas maliciosas finales del malware, que pueden ser: encriptar archivos, espiar información y actividades del sistema, utilizar la capacidad de la memoria para minar criptomonedas o generar ciberataques.

¿Quién puede hacer uso de la MITRE ATT&CK?

‍

Esta matriz la pueden usar una gran variedad de profesionales de TI como los CIO, CISO y especialistas en seguridad cibernética, incluidos:

‍

• Los equipos que desempeñan el papel de atacantes o competidores (Red Team).

‍

• Los buscadores de amenazas.

‍

• Desarrolladores e ingenieros de desarrollo de productos de ciberseguridad.

‍

• Los equipos de inteligencia para la detección de amenazas.

‍

• Los profesionales de gestión de riesgos.

‍

El Red Team ejecuta el escenario planificado emulando el comportamiento del atacante, para después informar a otros equipos, y utiliza el marco de trabajo de MITRE ATT&CK como modelo que les ayuda a desvelar las superficies de ataque, las vulnerabilidades en los sistemas y dispositivos corporativos, así como a obtener información para mejorar la capacidad de mitigar los ataques una vez que se producen.

‍

Esta información agrega cómo los atacantes obtuvieron el acceso y cómo se desplazan dentro de la red que fue afectada, además de qué métodos se utilizan para evadir la detección.

‍

Con estas herramientas en conjunto se logra conocer mucho mejor la situación de seguridad en general, así como identificar y probar las deficiencias en las defensas, y poder priorizar las posibles insuficiencias de seguridad en función del riesgo que suponen para la empresa.

‍

Del lado de los buscadores de amenazas, utilizan el marco de trabajo de MITRE ATT&CK para hallar correlaciones entre las técnicas específicas que los atacantes utilizan contra las defensas y para comprender la visibilidad de los ataques dirigidos hacia ellas, tanto en las terminales como en todo el perímetro de la red.

‍

Ahora, los desarrolladores e ingenieros de plataformas de seguridad utilizan este marco de trabajo como herramienta para evaluar la eficacia de sus productos, descubrir debilidades antes desconocidas y modelar cómo se comportarán sus productos durante el ciclo de vida de un ciberataque.

Los usos principales del MITRE ATT&CK

‍

Puede servir para seguir los planes de emulación de atacantes de Mitre para probar sus redes y defensas, modelando el comportamiento del atacante clasificado por este marco.

‍

Organiza visualmente todas las tácticas y técnicas conocidas en un formato fácil de entender. Las tácticas de ataque se muestran en la parte superior y las técnicas individuales se enumeran en cada columna.

‍

Asimismo, sirve para controlar mejor lo que están haciendo los atacantes, priorizar las amenazas y garantizar que se implementen las mitigaciones adecuadas.

‍

En resumen, dentro de sus principales usos se encuentran:

‍

• Modelado de amenazas e identificación de brechas de controles.

‍

• Como lenguaje común, de referencia para una conversación significativa.

‍

• Como marco de referencia durante la respuesta de incidentes.

‍

• Como marco de referencia durante los ejercicios de APT-Replay Red Teaming.

‍

• Como una conexión entre equipos ofensivos y defensivos.