Youtube Facebook-f Linkedin-in Instagram
CONTACTAME
Ciberseguridad
_ _ imagenti_ 0 Comments

¿Qué es el marco mitre ATT&CK?

por Frank Yue septiembre 10, 2021

Varias organizaciones mantienen marcos públicos de defensa de la ciberseguridad que cualquiera puede usar para comparar y mejorar su postura de ciberseguridad. Los ejemplos incluyen la cadena Lockheed Martin Cyber Kill® y el marco MITRE ATT&CK®. Este último es más conocido y profundiza mucho más. El conocimiento sobre el marco Mitre ATT&CK® ahora está integrado en el Sistema de Detección de Anomalías (ADS) Kemp Flowmon. Discutiremos el marco más amplio y cómo ADS lo incorpora en este artículo.

¿Qué es el marco MITRE ATT&CK®?

MITRE Corporation es una organización de investigación y desarrollo sin fines de lucro financiada con fondos federales encargada de idear soluciones para mantener a los Estados Unidos a salvo de diversas amenazas. A través de sus centros de I + D y asociaciones público-privadas, MITRE trabaja en todo el gobierno para abordar los desafíos a la seguridad, la estabilidad y el bienestar en muchas áreas. Uno de ellos es la seguridad de los sistemas informáticos.

El Marco MITRE ATT&CK® es una base de conocimiento de amenazas y acciones que mitre Corporation mantiene con el aporte de la industria y otras partes interesadas. La parte ATT&CK del nombre es un acrónimo de Adversarial Tactics, Techniques, and Common Knowledge. El marco está abierto a cualquier persona en el sector privado, gobiernos y proveedores de soluciones de ciberseguridad a nivel mundial, y no solo dentro de los Estados Unidos. Los marcos (sí plural, más sobre esto más adelante) se pueden usar como base para identificar y construir protecciones contra amenazas específicas utilizadas por los ciberdelincuentes.

El marco MITRE ATT&CK® tiene tres categorías de nivel superior, dentro de las cuales hay matrices que describen las tácticas utilizadas por los atacantes, las técnicas que utilizan y las mitigaciones que las organizaciones pueden tomar para protegerse contra los atacantes para aumentar la ciberseguridad. Las categorías de nivel superior son Enterprise, Mobile e ICS (Sistemas de Control Industrial, a menudo denominados Tecnología Operativa (OT)). Estas categorías de nivel superior se dividen en matrices que detallan las tácticas y técnicas dentro del marco.

¿Qué son las matrices MITRE ATT&CK®?

No replicaremos la información detallada que está disponible en el sitio web de MITRE ATT&CK® Framework.

La categoría Enterprise tiene una matriz de nivel superior que está disponible para ver en la página Enterprise Matrix. Tiene 14 subcategorías que incluyen diferentes números de técnicas y tácticas. Son los siguientes:

  • Reconocimiento: actividad de recopilación de información utilizada para planificar ataques.
  • Desarrollo de recursos: creación de infraestructura para ser utilizada en ataques. Como sitios web falsos.
  • Acceso inicial: vectores de ataque iniciales e intentos de violar la seguridad, como correos electrónicos de phishing.
  • Ejecución: intentar inyectar y ejecutar código malicioso.
  • Persistencia: mantener la persistencia en una red violada utilizando varias técnicas.
  • Escalada de privilegios: obtener los derechos y permisos de acceso para llevar a cabo ataques de funciones escaladas.
  • Evasión de defensa: actividades utilizadas por los atacantes para evitar el descubrimiento en la red.
  • Acceso a credenciales: monitoreo y robo de detalles de inicio de sesión para sistemas que aún no se han violado por completo, por ejemplo, registro de teclas.
  • Descubrimiento: encontrar otros sistemas en la red para infectar y controlar.
  • Movimiento lateral: saltar de un sistema infectado a otro. A menudo usando credenciales que funcionan en todos los sistemas.
  • Recopilación: recopilación de datos que tienen valor si se venden o se utilizan para una mayor planificación de ataques o chantajes.
  • Comando y control: comunicación con sistemas infectados desde sistemas cibercriminales en la web. A menudo utilizando transmisiones ocultas en paquetes de red estándar.
  • Exfiltración: copiar datos a los servidores de los ciberdelincuentes para venderse en la web oscura, mantenerse como rescate o usarse para la planificación de ataques futuros.
  • Impacto: interrumpe el funcionamiento de los sistemas de TI. Más comúnmente con cifrado de ransomware, pero también a través de otros tipos de malware.

Niveles de submaatriz

Consulte la página Enterprise Matrix para ver toda la matriz y los detalles de cada una de estas subcategorías Enterprise. La matriz empresarial es la más grande y la más madura. Dentro del segmento Enterprise del marco MITRE ATT&CK®, hay siete niveles de submacial. Son los siguientes:

  • PRE – cubre técnicas preparatorias.
  • Windows: un subconjunto de la matriz principal de Enterprise centrado en la plataforma Windows.
  • macOS: un subconjunto de la matriz empresarial principal centrada en la plataforma macOS.
  • Linux: un subconjunto de la matriz empresarial principal centrada en la plataforma Linux.
  • Red: un subconjunto de la matriz empresarial principal que cubre la seguridad relacionada con la red.
  • Contenedores: un subconjunto de la matriz principal de Enterprise que cubre la seguridad del modelo de entrega de aplicaciones de contenedores cada vez más común.
  • Nube: un subconjunto de la matriz empresarial principal que cubre la seguridad relacionada con la nube. Hay cinco submatrizes centradas en estos servicios y modelos específicos basados en la nube:
  • Oficina 365
  • Azure AD
  • Espacio de trabajo de Google
  • SaaS
  • IaaS

Complementando Enterprise están las categorías para Mobile e ICS. Hay mucha superposición entre las matrices Enterprise y las Mobile. La categoría móvil tiene dos submatrizes para Apple iOS y Google Android,los dos principales sistemas operativos móviles.

¿Cómo puede el marco MITRE ATT&CK® impulsar la ciberseguridad?

Hay muchas maneras en que una organización puede utilizar la información dentro del marco MITRE ATT&CK® para medir y luego mejorar su ciberseguridad.

Las tácticas y técnicas significan que una organización sabrá lo que los atacantes probablemente harán al pensar en su ciberseguridad. Los profesionales de la ciberseguridad pueden usar la información del marco para realizar ataques simulados contra las defensas para detectar brechas o vulnerabilidades.

How they do this will vary between organizations, based on their infrastructure and cyber defenses. It’s a good idea to use automation to check for the tactics and techniques outlined in the framework. The Kemp Flowmon Anomaly Detection System (ADS) release 11.3 supports MITRE ATT&CK® Framework reporting. It can identify and alert on cybercriminal activity with situational awareness based on the tactics and techniques in the framework.

How Kemp Flowmon ADS Integrates the MITRE ATT&CK® Framework

ADS is a security solution that uses machine learning to detect anomalies hidden in network traffic. It complements other security tools and creates a multi-layered protection system capable of uncovering threats at every stage of compromise. Release 11.3 enhances contextual network understanding using built-in knowledge of the adversary tactics and techniques described in the MITRE ATT&CK framework.

ADS 11.3 now assigns ATT&CK® categories to detected events to provide an understanding of what the event could mean. Simply put, the system relates a discrete anomaly on the network with intelligence on globally observed adversary methods. The particular ATT&CK® category appears on the ADS dashboard for easy analysis and review. This capability provides full situational awareness and enables assessment of the stage of a breach, its scope, and the adversary’s next move.

Kemp Flowmon ADS performs a contextual analysis of network events and determines which category or categories it matches. This analysis considers several factors to assign the category correctly, as one event may indicate several different tactics or techniques. 

For more details on how ADS 11.3 uses the MITRE ATT&CK framework categories, see our Boost Your Situational Awareness With Kemp Flowmon ADS 11.3 blog post. Please check out our ongoing weekly BrightTALK Webinar series also discussed ADS and the MITRE ATT&CK framework in August. You can view our 30-minute webinar titled Manage security threats with MITRE ATT&CK Framework on the BrightTALK site.

Use Cases for the MITRE ATT&CK® Framework 

Organizations can use the MITRE ATT&CK® Framework to support a range of cybersecurity planning and testing activities. Given the detailed matrices, it should be possible to identify techniques and tactics that security professionals can use to structure defense planning. Some typical use cases for the framework include:

  • Perform a Security Gap Analysis on current cybersecurity – use the information in the framework to assess existing tools for any weak spots. And also to evaluate new tools and services before purchase to ensure that they add value and increase cybersecurity.
  • Raise the cyber-threat intelligence of the security team – the threat landscape is large and ever-changing. The matrices provide a good snapshot of the knowledge cybersecurity professionals should have. 
  • Accelerate the identification of threats – the framework groupings make it easier to link together different activities and behaviors that together indicate an ongoing attack or emerging threat.
  • Simulate typical adversary attack methods – testers can use the framework during penetration testing to simulate techniques cybercriminals will use to probe cyber-defenses.  
  • Provide a common threat and attack matrix for Red Teams – Red Teams who are ethically attacking organizations to find weaknesses can also use the matrices as a baseline set of tactics and techniques.
  • Simplify reporting for non-technical Executives – communicating threats to non-technical Executives can be challenging. The framework provides an excellent visual medium to highlight cybersecurity weaknesses, and to help secure the funding to plug any gaps.  
  • Línea de base de la preparación del Centro de Operaciones de Seguridad (SOC) existente: similar al análisis de brechas, pero muchas organizaciones han subcontratado la provisión de SOC. Los equipos pueden usar el marco para establecer la línea de base de un SOC, ya sea si se trata de un proveedor externo o interno.

La integración de las categorías de informes del marco en Kemp Flowmon ADS hace que sea mucho más fácil automatizar muchos de estos casos de uso.

Conclusión

El marco MITRE ATT&CK es un excelente recurso para aprender sobre las tácticas y técnicas actuales de ciberataque.
También es una gran lista de verificación al diseñar e implementar defensas de ciberseguridad. La integración con las completas herramientas de detección de anomalías dentro de Kemp Flowmon ADS significa que todos pueden ver la actividad inusual de la red de una manera fácil de entender. Esto hace que sea mucho más probable que cualquier mal actor en una red sea detectado, aislado y luego expulsado antes de que puedan completar sus planes de ataque.

referencia https://kemptechnologies.com/blog/mitre-attack-framework-kemp/

4

Author

imagenti

Tu socio de confianza en ciberseguridad
Conócenos
Contacto

info@imagenti.mx

Siguenos en:
Linkedin Facebook Instagram Youtube Twitter
Conoce más sobre WithSecure