MITRE y su framework MITRE ATT&CK
Iñigo Ladrón MoralesCompartir
En el camino, el trabajo diario y continuo de la lucha contra las ciberamenazas y en pro de un mejor nivel de ciberseguridad, MITRE, y su framework MITRE ATTACK (MITRE ATT&CK), conforman un marco de actuación más que sugiere la aplicación de una serie de técnicas, tácticas, herramientas y metodologías eficaces.
MITRE es una organización sin fines de lucro para la resolución de problemas de todo tipo mediante la tecnología. En el caso de la ciberseguridad, MITRE proporciona herramientas y marcos de trabajo que ayudan a defenderse contra las ciberamenazas.
MITRE es un acrónimo que significa "Massachusetts Institute of Technology Research and Engineering", que no es, ni más ni menos, que la organización que lo creó en 1958, financiada por el NIST (Instituto Nacional de Estándares y Tecnología).
Por otro lado, MITRE ATT&CK significa "Adversarial Tactics, Techniques, and Common Knowledge" (Tácticas, Técnicas y Conocimiento Común del Adversario), siendo éste el marco de trabajo de MITRE, en el caso de la ciberseguridad, que se focaliza en lo que se denominan tácticas y técnicas utilizadas por los ciberdelincuentes.
El término "ATT&CK", indica ATTACK, haciendo precisamente referencia a esas técnicas y tácticas empleadas por los cibercriminales:
- Las tácticas hacen referencia a los objetivos generales de un ciberataque.
- Las técnicas describen las acciones específicas empleadas por los ciberdelincuentes para lograr esos objetivos.
Es por ello que MITRE ATT&CK sirve como una guía de incalculable valor para entender cómo funcionan y trabajan los ciberdelincuentes, así como aprender a defenderse de ellos. Para posibilitar esto, dicho el framework proporciona una estructura detallada que ayuda a las organizaciones a evaluar y mejorar su postura de ciberseguridad.
Y, ¿Cómo funciona? MITRE ATT&CK desglosa los ciberataques en tácticas y técnicas que emplean los atacantes y, éstas, se organizan dentro de una matriz que permite a las organizaciones comprender cómo se llevan a cabo los ciberataques y cómo defenderse contra ellos.
Conociendo esa matriz, MITRE ATT&CK se utiliza como una guía para evaluar la postura de ciberseguridad de la organización, identificando en ella las posibles áreas de mejora. Las organizaciones pueden utilizar el marco de trabajo para desarrollar estrategias de defensa más efectivas y mejorar la resiliencia contra ciberataques.
Entonces, ¿No es lo mismo MITRE que MITRE ATT&CK? No, no es lo mismo, aunque evidentemente están estrechamente relacionados.
- MITRE es la organización que desarrolló MITRE ATT&CK, la cual abarca una amplia gama de actividades de investigación y desarrollo, en diferentes ámbitos, de diverso tipo e índole, más allá de la ciberseguridad y mucho más ampliamente.
- MITRE ATT&CK, sin embargo, se centra específicamente en materia de ciberseguridad, proporcionando un marco de trabajo (framework) para entender a los ciberdelincuentes y el modo en el que actúan, así como capacitarse para defenderse contra sus ciberamenazas.
MITRE ATT&CK proporciona matrices específicas para diferentes áreas de operación:
- Empresa (Enterprise).
- Móvil (Mobile).
- Sistemas de Control Industrial (SCI) / Industrial Control Systems (ICS).
Estas matrices están diseñadas para abordar las tácticas y técnicas utilizadas en cada uno de dichos entornos específicos (empresas, movilidad y entorno industrial).
Como decíamos, las tácticas de MITRE ATT&CK son los objetivos que se plantea atacar en un ciberataque, de forma genérica. Dichas tácticas se desglosan y describen los objetivos que un ciberdelincuente tratará de intentar lograr durante un ciberataque.
Alguno de estos objetivos que comprenden las tácticas, son los siguientes:
- Obtención de acceso inicial.
- Ejecución.
- Escalada de Privilegios.
- Ejecución de código.
- Persistencia.
- Evasión de Defensas.
- Acceso a Credenciales.
- Descubrimiento.
- Movimiento Lateral.
- Recopilación.
- Exfiltración de datos.
- Impacto.
A su vez, las técnicas son acciones concretas que realizan los ciberdelincuentes para lograr sus objetivos tácticos. Estas técnicas describen cómo los ciberdelincuentes llevan a cabo sus ciberataques y, por lo tanto, proporcionan información detallada de enorme valor sobre sus posibles actuaciones.
Alguna de estas acciones que comprenden las técnicas (las cuales son más de 300) son los siguientes:
- Phishing (Suplantación de Identidad).
- Comando y Control.
- Volcado de Credenciales.
- Inyección de SQL.
- Explotación de vulnerabilidades.
- Explotación para Ejecución de Cliente.
- Protocolo de Escritorio Remoto.
- Uso de herramientas de administración remota.
- …
Por otro lado, ATT&CK Navigator es una herramienta web que permite ser navegada para explotar matrices ATT&CK, la cual puede ser utilizada para visualizar la cobertura defensiva, la planificación de los equipos Read Team y de Blue Team, la frecuencia de las técnicas detectadas y algunos parámetros más.
El modelado de ciberamenazas es una parte esencial de un enfoque proactivo de la ciberseguridad, y, en ese aspecto, el framework MITRE ATT&CK es una herramienta valiosísima que las organizaciones pueden utilizar, junto con el modelado de ciberamenazas, para identificar posibles vectores de ataque y tácticas utilizadas por los actores de ciberamenazas.
En definitiva, MITRE y su marco de trabajo MITRE ATT&CK son recursos enormemente importantes para “saber luchar convenientemente” contra las ciberamenazas y los ciberdelincuentes.
Para ello, proporcionan una estructura que permite comprender la operación ciberdelictiva y defenderse de ella. El uso de este framework de trabajo permite la mejora de la mitigación de riesgo en las empresas.
Si quieres, conocer más detalles puedes consular:
¿Podría ser útil MITRE ATT&CK en tu empresa? Te podemos ayudar. ¿Hablamos? Zerolynx.
Consulta todos los servicios de ciberseguridad y ciberinteligencia de Zerolynx.
O, si lo prefieres, no dudes en ponerte en contacto con nosotros.
Iñigo Ladrón Morales, Redactor de contenidos para Zerolynx.
