Quienes solían ver las antiguas series de televisión sobre detectives, seguro que recordarán las clásicas escenas en las que se pedía a una víctima o a un testigo de un delito que ojeara grandes carpetas de fichas policiales mientras estaba sentado en la mesa de una comisaría. Esto se debe a que los detectives de la policía saben que ciertos tipos de delitos siempre son cometidos por los mismos delincuentes. Las películas muestran a menudo al FBI o a la Interpol investigando en su base de datos de delincuentes después de un gran atraco a una joyería o a un banco para resolver otros robos similares, ya que los delincuentes tienden a utilizar las mismas técnicas una y otra vez cuando tienen éxito. Este es el principio en el que se basa el framework MITRE ATT&CK, popularmente utilizado por los equipos de seguridad, los buscadores de amenazas y los centros de operaciones de seguridad (SOC).

¿Qué es el framework MITRE ATT&CK?

Al igual que la analogía de las bases de datos de delincuentes, este framework es básicamente una gigantesca lista por categorías de todos los métodos de ataque conocidos que un actor de amenazas puede utilizar para vulnerar los sistemas de una red. Por ejemplo, las organizaciones de ransomware conocidas suelen utilizar las mismas maniobras de ataque cuando lanzan un ataque de ransomware. Los equipos de seguridad lo utilizan para entender la forma en que los atacantes pueden intentar infiltrarse en su red y las estrategias para hacerles frente. No debe considerarse un sustituto del NIST u otros frameworks de seguridad similares, ni tampoco de un plan de respuesta a incidentes.

Las siglas ATT&CK corresponden a Adversarial Tactics, Techniques & Common Knowledge (tácticas, técnicas y conocimientos comunes del adversario). Esta base de conocimientos de acceso global sobre técnicas de ataque se basa en observaciones del mundo real y proporciona un enfoque estandarizado y estructurado para describir y categorizar las diferentes metodologías de ataque utilizadas por hackers y organizaciones criminales. Imagínese la confianza que tendría un general al entrar en batalla después de haber visto de antemano los planes de ataque del enemigo al que se enfrenta.

¿Quién gestiona la base de datos?

MITRE Corporation es una organización sin ánimo de lucro fundada en 1958 que gestiona centros de investigación y desarrollo financiados con fondos federales en Estados Unidos. MITRE puso en marcha ATT&CK en 2013 como una forma de documentar las tácticas, las técnicas y los procedimientos (TTP) comunes que se utilizaban contra las redes empresariales de Windows. En la actualidad, se pueden encontrar las últimas TTP utilizadas en dispositivos Windows en la matriz Windows que tienen publicada. Además, el framework también incluye otros sistemas operativos y tecnologías, como la matriz móvil, que recoge las técnicas utilizadas por los adversarios contra dispositivos móviles que ejecutan las plataformas Android y iOS. MITRE mantiene actualizadas todas sus categorías de ataques gracias a la investigación interna, la participación de la comunidad, la colaboración de la industria y la integración con otros frameworks.

En qué se diferencia MITRE de otros frameworks conocidos

Aunque los frameworks MITRE ATT&CK y NIST comparten el objetivo de ayudar a las organizaciones a defenderse contra las ciberamenazas, ambos utilizan enfoques diferentes. El framework de ciberseguridad NIST está diseñado para ayudar a las organizaciones a identificar, evaluar y gestionar los riesgos de ciberseguridad en todo su parque informático. Por su parte, MITRE ATT&CK se centra específicamente en la identificación y categorización de las tácticas y técnicas utilizadas por los ciberatacantes. Mientras que NIST se centra en la evaluación y gestión del riesgo, ATT&CK está orientado a las metodologías de ataque. Los dos trabajan mano a mano para complementarse mutuamente.

Aunque algunas personas podrían comparar ATT&CK con Lockheed Martin Kill Chain, ambos son bastante diferentes. Mientras que el enfoque categórico matricial del framework MITRE describe las tácticas que un atacante puede utilizar a lo largo de las distintas fases de un ataque, Lockheed Martin Kill Chain es un modelo lineal que describe la progresión cronológica de las distintas fases de un ataque, aportando información que puede utilizarse para detectar y combatir cada fase. A pesar de ser valioso para los equipos de seguridad profesionales, este framework que describe la perspectiva de un atacante a lo largo de un ataque se considera demasiado de alto nivel para la mayoría de las organizaciones, además de un poco anticuado.

Ventajas del framework MITRE ATT&CK

Aunque el framework MITRE ATT&CK es beneficioso para cualquier organización preocupada por la seguridad, a menudo se hace referencia a él como un “multiplicador de fuerza” para las pequeñas empresas. Las pequeñas empresas y organizaciones que no disponen del tiempo o de los recursos necesarios para desarrollar sus propios frameworks, pueden aprovechar la base de conocimientos existente en el framework de MITRE para conocer las tácticas que podría emplear un atacante contra su red, aumentando así su nivel de conciencia sobre lo vulnerables que podrían ser. Además de aumentar la concientización, el framework también ayuda en tres áreas más:

• Evaluación de riesgos: Dado que MITRE mantiene sus matrices actualizadas, se pueden utilizar para evaluar la postura de seguridad de una organización e identificar los puntos débiles que podrían ser aprovechados por un atacante. Esto puede ayudar a una organización a priorizar su inversión en seguridad y a asignar adecuadamente sus recursos, así como a determinar su responsabilidad en materia de seguridad.
• Estrategia defensiva: Al conocer las tácticas del enemigo, es posible saber cómo defenderse de las mismas. Esto ayuda a las organizaciones a determinar el conjunto adecuado de controles de seguridad y la mejor manera de utilizarlos para reducir el riesgo de que un ataque tenga éxito.
• Cumplimiento: Cualquier organización que deba cumplir los requisitos reglamentarios o las normas de seguridad designadas, puede beneficiarse de la orientación que proporciona el framework MITRE.

Por qué CYREBRO utiliza el framework MITRE ATT&CK

Debido a que prestamos servicio a clientes de un gran número de mercados verticales, sólo tenemos en cuenta los frameworks de seguridad que son aplicables a todas las empresas y que son lo suficientemente sólidos como para garantizar la seguridad de todos nuestros clientes. Independientemente de la ubicación de su empresa, los ciberataques pueden iniciarse desde cualquier lugar del mundo y el gran tamaño de la comunidad de MITRE ATT&CK nos proporciona confianza en la relevancia de sus directrices. Valoramos el compromiso de MITRE de mantener el framework ATT&CK lo más actualizado posible, ya que sabemos muy bien lo rápido que cambian las cosas en el ámbito de la ciberseguridad, pues los actores de amenazas siempre están buscando aprovechar una nueva vía de ataque . También estamos de acuerdo con que MITRE se centre en los adversarios porque son ellos los que crean las estrategias de ataque. Sí, la solución puede ser tan sencilla como mantenerse al día de lo que hacen los malos. 

Conclusión

Debido al crecimiento exponencial del panorama de las amenazas en los últimos años, el framework ATT&CK de MITRE es un gran recurso que ayuda a aumentar las probabilidades de éxito de quienes son objetivo de los ciberataques. Un equipo deportivo no puede ganar a sus rivales sin una estrategia establecida y una empresa no puede defenderse adecuadamente de sus adversarios desconocidos que se esconden sigilosamente en la darkweb y otros lugares siniestros del mundo sin un plan de batalla establecido. La ciberseguridad es como el juego del gato y el ratón, y a usted no le conviene ser el ratón. Con la guía del framework MITRE ATT&CK en la mano, puede asegurarse de tener la inteligencia necesaria para anticipar el siguiente movimiento de ajedrez antes de que pueda ser ejecutado.