Es sabido que, con los años, las técnicas de ataques cibernéticos fueron evolucionando hasta hacerse muy difíciles de detectar. El gran desafío de las herramientas de ciberseguridad tradicionales era mantenerse a la altura del desafío. Justo ese es el motivo por el cual nos hemos encontrado con la matriz MITRE ATT&CK en múltiples herramientas de análisis de malware. Pero, ¿qué es? ¿Para qué sirve? ¿Cómo funciona? Eso lo descubriremos en este artículo.
Antes, las técnicas de seguridad se basaban únicamente en los reportes de incidentes y clasificación de vulnerabilidades. Pero no pasó mucho tiempo hasta que esta se volviera insuficiente.
Se empezó a requerir herramientas de análisis y detección, como MITRE ATT&CK framework, que contasen con bases de datos con firmas actualizadas. De esta forma, sería posible monitorear el comportamiento de un sistema o dispositivo para dar con cualquier tipo de actividad maliciosa. Así, ante una amenaza, que evada las barreras de seguridad, el sistema podría activarse y aislar de inmediato al objeto sospechoso.
Entonces, ¿es posible detectar amenazas de día cero a partir de reglas de comportamiento? ¿La matriz de MITRE ATT&CK puede encargarse de esto?
¿Qué es la matriz MITRE ATT&CK?
MITRE ATT&CK es una matriz, o framework en inglés, de código abierto desarrollado por la compañía Mitre Corporation en 2013. En inglés, su nombre hace referencia a “tácticas, técnicas del adversario y conocimiento común”. Su función es detectar y describir la conducta de una amenaza desde la visión de intención de un atacante.
En otras palabras, MITRE ATT&CK revela cuáles son los métodos y estrategias que utilizan los hackers para atacar sistemas mediante una lista estructurada. ¿De qué sirve esta información? Con estos datos, se puede crear un mecanismo de defensa mucho más efectivo y actualizado para hacerles frente.
Principales usos de MITRE ATT&CK
Mapeos de controles defensivos
Los controles defensivos pueden tener un significado comprendido. En comparación con las tácticas y técnicas de esta matriz a la que se aplican.
Búsqueda de amenazas
Al mapear las defensas con MITRE ATT&CK es posible generar una hoja de ruta con las brechas defensivas que sean de gran ayuda para el buscador de amenazas. Ya que permiten descubrir los lugares perfectos para encontrar posibles actividades sospechosas sin cubrir de los atacantes.
Detecciones e investigaciones
La matriz MITRE ATT&CK ayuda a los equipos SOC, y al equipo de respuesta a incidentes a referenciar y catalogar las técnicas y tácticas que se han descubierto. Esto permite una mayor visión de las fortalezas y debilidades defensivas, ayudando a descubrir configuraciones erróneas o problemas operativos.
Actores de referencia
Gracias a esta matriz, cada comportamiento o conducta específica puede ser definida y asociada a un determinado grupo o actor.
Integraciones de herramientas
Las defensas de ciberseguridad suelen presentar graves problemas de integración. Pero gracias a la matriz MITRE ATT&CK, cada uno de estos servicios dispares pueden estandarizarse gracias a las tácticas y estrategias de este servicio.
Uso compartido
El uso de esta herramienta, asegura el uso de un lenguaje y una matriz común cuando se debe compartir información sobre un ataque, actor o grupo.
Pruebas de penetración
A la hora de realizar una prueba de penetración en el equipo rojo o morado, se puede utilizar la matriz MITRE ATT&CK para hablar con un lenguaje común entre los defensores y destinatarios del informe.
Funcionamiento de MITRE ATT&CK
Para comprender mejor a MITRE ATT&CK es preciso aclarar que su funcionamiento se encuentra dividido en distintas categorías.
Por un lado, se encuentran las matrices, que engloban a distintos momentos de las fases de un ciberataque. Y por el otro, reúne a las distintas técnicas y tácticas asociadas con el contenido de una matriz.
¿Cuáles son las matrices de MITRE ATT&CK?
Este framework está dividido en tres matrices básicas:
- Matriz enterprise: Reúne a las técnicas y tácticas aplicables a sistemas operativos de Windows, Linux y MacOs.
- Mobile: Engloba a las estrategias utilizadas en teléfonos móviles.
- PRE-ATT&CK: Contiene técnicas y estrategias que utilizan los atacantes antes de ingresar a un sistema.
Tácticas y técnicas de MITRE ATT&CK
Ahora que ya hemos desglosado las posibles matrices con las que nos toparemos en la herramienta de MITRE ATT&CK, es hora de entender cómo funcionan.
Las matrices están expresadas en cuadros de doble entrada. En la parte superior, se listan las tácticas en los títulosde columnas. Corresponden, de cierto modo, a categorías generales de técnicas.
¿Cómo distinguir a una técnica o táctica? Para poder identificarlas debemos preguntarnos qué es lo que intentan lograr los atacantes. Cualquier respuesta a esta pregunta nos indicará que estamos trabajando con una táctica.
En cambio, si nos preguntamos cómo piensa lograr un atacante su cometido, estamos hablando de una técnica. Que no son más que los pasos u objetivos.
Fases de un ciberataque según MITRE ATT&CK
Si queremos conocer en profundidad la matriz MITRE ATT&CK, debemos hacer una pausa para entender cómo consideran estos que se desarrollan las fases de un ciberataque.
Este framework divide las fases de un ataque en:
- Vector de ataque.
- Explotación.
- Postexplotación.
- Exfiltración de datos.
- Payload.
1 | Vector de ataque
Cuando mencionamos el vector de ataque en la matriz de MITRE ATT&CK, nos referimos al canal escogido por el atacante para llegar al sistema de la víctima.
Generalmente, el más común, es el correo electrónico. Mediante el cual se envían enlaces o ficheros maliciosos que los usuarios ejecutarán descuidadamente.
También pueden utilizarse los virus troyanos. Estos simulan ser una aplicación gratuita o pirateada. Pero hay algunos ciberatacantes que llegan un poco más allá, y sobornan a un empleado. Incluso se infiltran en la compañía para robar información.
2 | Explotación
Cuando ya se cuenta con una puerta de entrada al sistema, es hora de hallar las vulnerabilidades del mismo para explotarlas. Generalmente, provienen de fallos informáticos.
Algunos ejemplos son:
- Fallos criptográficos.
- Fallos de programación.
- Fallos de configuración.
Para esta etapa se utilizan exploits. Estos son software diseñados para infiltrarse en sistemas informáticos, aprovechando sus debilidades.
3 | Postexplotación
En cuanto a las técnicas de postexplotación, la matriz MITRE ATT&CK reconoce los siguientes procesos:
- Movimiento lateral o propagación mediante la red.
- Escalada de privilegios para la ejecución de un código.
- Conexión con servidores maliciosos.
- Descarga de ficheros sospechosos.
- Encriptación de ficheros.
4 | Exfiltración de datos
La matriz MITRE ATT&CK también detecta cuando un malware procede a sustraer información antes de ejecutar el payload.
5 | Payload
La última fase corresponde al payload. Se trata de las últimas tareas maliciosas de un malware. Estas pueden ser encriptar archivos, espiar información o utilizar la capacidad del equipo para generar ciberataques mediante botnet.
Principales desafíos al utilizar MITRE ATT&CK
- No todas las técnicas son maliciosas
- Algunas técnicas no son fáciles de detectar
- Ciertas técnicas tienen varios modos de ejecución
- Algunas técnicas se incluyen dentro de diversas tácticas
Conclusión
En este artículo hemos repasado las principales ventajas de la matriz MITRE ATT&CK. También hemos revisado su funcionamiento, aplicaciones o desafíos. Se trata de una herramienta ideal para mejorar la comunicación y la implementación de planificaciones de defensa sólidas.
