¿MITRE ATT&CK?
¿Has escuchado de MITRE ATT&CK? ATT&CK por sus siglas en inglés, significa: «tácticas, técnicas del adversario y conocimiento común». En una fuente de información colaborativa entre los profesionales de seguridad. Permite identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. Es una fuente a tener en cuenta para entender cómo operan los atacantes.
ATT&CK por sus siglas en inglés, significa tácticas, técnicas del adversario y conocimiento común. El marco, creado por la organización MITRE, ahora está en su sexto año, y su misión es capturar las técnicas, tácticas y procedimientos (TTP) de las amenazas persistentes avanzadas (APT) que se dirigen principalmente a dispositivos Windows, y más recientemente, Mac y Linux también.
ATT&CK Enterprise (a diferencia de Pre-ATT&CK o MOBILE) se enfoca en entender el modus operandi de los adversarios posterior al compromiso dentro de los entornos empresariales.
Como lectura preliminar preliminar, recomendamos encarecidamente el propio documento de 2017 de MITRE sobre el tema, Finding Threats with ATT&CK-based Analytics. https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics
El marco es una base de conocimiento accesible a nivel mundial de tácticas y técnicas de los adversarios que pueden describirse como un inventario de indicadores de compromiso (IOC por sus siglas en inglés) estáticos basados en la reputación que cambian con el tiempo, expiran y solo tienen un valor en un punto en el tiempo.
Por lo tanto, MITER ATT&CK ha documentado una nueva taxonomía que permite a los profesionales de la seguridad identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. En otras palabras, los principales problemas que aborda el marco ATT&CK se centran en cómo interactúan los adversarios con un sistema. En muchos sentidos, se puede argumentar que el marco ha ayudado a alejar la conversación de las firmas estáticas que dominaron la era de la detección 2012-2013, y hacia un tipo diferente de detección: el comportamiento de un adversario conocido. Antes de este framework, los profesionales de seguridad no tenían medios colectivos para catalogar lo obvio, ni lo matizado, en lo que respecta a las diferencias de los TTP de los atacantes. Se podría argumentar que la capacidad de tener esta conversación es la contribución más significativa del marco de ATT&CK hasta la fecha.
¿Cuáles son los usos principales de ATT&CK?
1. Modelado de amenazas e identificación de brechas de controles
2. Como lenguaje común / referencia para una conversación significativa
3. Como marco de referencia durante la respuesta a incidentes
4. Como marco de referencia durante los ejercicios de APT-Replay Red Teaming
5. Como un puente entre equipos ofensivos y defensivos durante los ejercicios de equipo morado
Los proveedores de ciberseguridad también se benefician al probar sus soluciones contra el marco y medir la efectividad de sus herramientas contra estrategias de ataque conocidas y comportamientos de los adversarios.
Las pruebas MITRE ATT&CK son transparentes y los resultados de la evaluación están disponibles tanto para los fabricantes como para los usuarios finales, sin comentarios ni prejuicios. Las evaluaciones MITRE ATT&CK no son un sistema competitivo utilizado para seleccionar a los ganadores en la industria de la ciberseguridad. No enfrenta soluciones entre sí, califica cuantitativamente los productos no califica el desempeño de un proveedor. Los resultados de las pruebas se registran en una matriz de éxito que ofrece a los lectores una idea de cómo le fue a cada proveedor frente a cada técnica o táctica de amenaza.
En resumen, es fundamental recordar que MITER ATT&CK no está construido en base a inteligencia, sino en conocimiento y visibilidad. No se esfuerza por examinar cosas como las dependencias de la cadena de ataque, el contexto o las ponderaciones en términos de qué priorizar, dadas todas las demás variables. Tampoco se presta para probar lo desconocido; aquellas técnicas para las cuales puede no haber firmas conocidas. En un contexto de amenazas hiper evolutivas que aprovechan un número cada vez mayor de técnicas que, fuera de contexto, pueden ser benignas o maliciosas, como los ataques que utilizan las herramientas legitimas existentes en la infraestructura de la víctima (living off the land) y la exfiltración de datos, existen numerosos ejemplos tangibles de esa limitación con los cuales toda organización deberá estar muy familiarizada.