El marco MITRE ATT&CK es una herramienta crucial en el panorama de la ciberseguridad que permite a las organizaciones mejorar su postura de seguridad. Es una base de conocimientos sobre tácticas, técnicas y procedimientos (TTP) de los adversarios y un lenguaje común para discutir y comprender las ciberamenazas. Los equipos de seguridad se apoyan en este marco para identificar posibles puntos débiles en sus sistemas, así como para priorizar y mitigar los riesgos de forma más eficaz.

El verdadero valor de este marco reside en su constante mantenimiento y actualización con nuevas TTP a medida que se van descubriendo, lo que garantiza que las organizaciones que lo utilizan estén siempre al día de las amenazas emergentes. Sin actualizaciones periódicas, el marco ATT&CK no reflejaría con precisión el panorama cambiante de las amenazas.

Para sacar el máximo partido a este marco, las empresas deben incorporarlo a su proceso de optimización SIEM. Pero, como dice el refrán popular… el diablo está en los detalles. Las configuraciones incorrectas y la falta de una optimización adecuada no sólo merman la potencia del marco y del SIEM, sino que también generan una falsa sensación de seguridad, como se señala en el Tercer Informe Anual sobre el Estado del Riesgo de Detección SIEM, publicado recientemente por CardinalOps. Sin embargo, cuando el proceso de optimización se realiza de forma correcta y continua, se crea una potente solución de seguridad que ayuda a las organizaciones a mantenerse por delante de las amenazas.

Por qué las organizaciones deberían implementar el marco MITRE ATT&CK en su SIEM

En El Arte de la Guerra, Sun Tzu escribió: “Si conoces al enemigo y te conoces a ti mismo, no debes temer el resultado de cien batallas. Si te conoces a ti mismo, pero no al enemigo, por cada victoria obtenida sufrirás también una derrota”.

El marco MITRE ATT&CK le ayuda a conocer a su enemigo, ya que proporciona una visión detallada de las acciones que los actores de amenazas utilizan durante las distintas fases de un ataque, junto con los pasos a seguir para prevenirlo o remediarlo. Implementar el marco en un SIEM permite acortar distancias entre la comprensión del comportamiento de los actores de amenazas y la mejora de la postura de seguridad, pero no es la única ventaja. Otras son:

Terminología estandarizada: El marco ATT&CK introduce un léxico común para describir el comportamiento de los adversarios, lo que permite a los equipos de seguridad comunicarse eficazmente y compartir información a lo largo de la organización. El hecho de compartir este lenguaje y estos conocimientos fomenta la colaboración y facilita una respuesta más eficaz a las amenazas, ya que todo el mundo está en sintonía.

Mitigación prioritaria de amenazas: Las organizaciones tienen diferentes activos que proteger y vulnerabilidades que solucionar. Dado que el marco categoriza las tácticas y técnicas en función del comportamiento de los actores de amenazas en el mundo real, las empresas pueden priorizar sus esfuerzos de seguridad y centrarse en mitigar primero las amenazas más relevantes y prevalentes, ya se trate de malware, amenazas internas, ataques de phishing u otro tipo de amenaza.

Intercambio de información sobre amenazas: Cuando el marco se integra en un SIEM, los expertos en seguridad pueden compartir y recibir información sobre amenazas con otras organizaciones, compañeros del sector y comunidades de ciberseguridad. Esta colaboración ayuda a reforzar las defensas colectivas y permite responder a tiempo a las amenazas emergentes.

Los beneficios de mejorar un SIEM con MITRE ATT&CK

Integrar el marco en un sistema de seguridad centralizado como un SIEM, supone algo más que disponer de una guía de referencia sobre el comportamiento de los adversarios. Abre un abanico de posibilidades para optimizar toda la infraestructura de ciberseguridad y las capacidades de respuesta, permitiendo a las organizaciones hacer frente al cambiante panorama de las amenazas de forma proactiva y eficaz. Veamos tres de los principales beneficios.

Detección mejorada de las amenazas: Los mecanismos tradicionales de detección basada en reglas de los SIEM, tienen limitaciones porque a menudo se basan en firmas predefinidas y patrones de ataque conocidos, lo que los hace menos eficaces contra las amenazas avanzadas y novedosas. Al incorporar el marco y alinear las reglas de detección y las alertas con las TTP de los adversarios, las organizaciones pueden identificar las actividades sospechosas que podrían no ser detectadas por las firmas convencionales. Los equipos pueden detectar ataques sofisticados en sus primeras fases, incluso cuando los métodos de ataque no se hayan visto nunca antes. Dado que el marco evoluciona a medida que se obtiene información sobre nuevas amenazas, el proceso garantiza que las reglas de detección sigan siendo relevantes y que el SIEM esté bien equipado para hacer frente a las amenazas emergentes.

Mejora de la respuesta a incidentes: El lenguaje estandarizado del marco ATT&CK agiliza el proceso de respuesta a incidentes. Al hacer referencia a la matriz ATT&CK, los equipos de seguridad pueden identificar rápidamente las tácticas y técnicas específicas utilizadas. Esta información contextual les permite priorizar sus esfuerzos de respuesta, permitiendo una investigación más precisa y un proceso de contención que minimiza el impacto de los incidentes de seguridad.

Inteligencia sobre amenazas contextualizada: El marco ATT&CK estructura los datos brutos de inteligencia sobre amenazas contextualizándolos en las TTP del marco. Al integrar esto en un SIEM, los equipos de seguridad pueden enriquecer la inteligencia sobre amenazas con un contexto de comportamiento, asignarla a técnicas específicas de los actores de amenazas y obtener información sobre sus tácticas y objetivos. Esta contextualización permite a las organizaciones diferenciar entre información sobre amenazas relevante e irrelevante y tomar decisiones más informadas sobre la manera de responder.

Los desafíos de la optimización SIEM

Aprovechar plenamente el potencial del marco MITRE ATT&CK dentro de un SIEM es una tarea exigente. Deben realizarse innumerables acciones manuales y automatizadas para optimizar y mantener actualizado el SIEM. De lo contrario, la eficacia del SIEM se reduce. Eso es lo que deja claro el informe de CardinalOps. En él se constata que los SIEM empresariales ingieren datos suficientes para abarcar el 94% de todas las técnicas de MITRE ATT&CK, pero sólo llegan a cubrir el 24% debido a la falta de reglas de detección, con un incumplimiento del 12% de las reglas del SIEM.

Esa discrepancia se debe a diversos problemas: infraestructuras y herramientas complejas y en constante cambio, amplias personalizaciones debidas al entorno único de cada organización y dificultad para escalar las detecciones debido a procesos manuales propensos a errores que requieren conocimientos muy especializados. Si las grandes empresas no pueden mantenerse al día en el proceso de optimización, ¿cómo puede esperarse que lo haga una PYME? Afortunadamente, existe una solución sencilla: subcontratar la ciberseguridad a un proveedor de SOC de confianza que disponga del tiempo y los conocimientos necesarios para gestionar el proceso continuo de forma eficaz y eficiente.

Aunque no podemos hablar del valor de otros SOC, podemos asegurar a las organizaciones que este es un ámbito en el que CYREBRO brilla con luz propia. Constantemente añadimos, actualizamos y creamos reglas personalizadas basadas en las operaciones y el entorno de las organizaciones, las últimas investigaciones, los datos externos y la inteligencia sobre búsqueda de amenazas. Nos encargamos de todo el proceso de optimización y puesta a punto para garantizar a los clientes la máxima protección y tranquilidad.

Shahar Laksman, investigador de seguridad de CYREBRO, explica:

“Hoy en día, CYREBRO diseña las alertas en forma de línea argumental, lo que nos permite identificar patrones de ataque según una combinación de varias reglas diferentes, en lugar de basarnos en una alerta única y aislada. El uso del marco MITRE ATT&CK nos permite etiquetar e indexar nuestras propias reglas de detección basadas en MITRE Tactics, que nos indica la fase del ataque y la manera de reaccionar”.

Las organizaciones necesitan soluciones de seguridad integrales

En el dinámico panorama actual de las amenazas, los SIEM por sí solos no son suficientes, aunque tampoco lo es la simple integración del marco MITRE ATT&CK en el entorno SIEM. Para sacar el mayor provecho y protegerse frente a las amenazas conocidas y emergentes, las organizaciones deben comprometerse a optimizar continuamente el SIEM supervisando y corrigiendo las configuraciones a medida que van cambiando y aumentando las superficies de ataque y las vulnerabilidades.

Sin embargo, la optimización SIEM es sólo una de las seis características necesarias de un SOC para mantenerse por delante de las amenazas. Una estrategia de seguridad integral que también incluya la búsqueda de amenazas, la inteligencia sobre amenazas, la investigación forense, la respuesta a incidentes y la supervisión estratégica es la única forma de combatir las ciberamenazas en constante evolución y de proteger los activos críticos.