MITRE ATT&CK: ¿Qué es y cómo funciona?

De Eduard Bardají

MITRE ATT&CK - ¿Qué es y cómo funciona?

La matriz MITRE ATT&CK, diseñada por la empresa MITRE, se usa para describir y catalogar los comportamientos fraudulentos en ciberseguridad. Para hacerlo, se basa en tácticas y técnicas que usan comúnmente los ciberdelincuentes para prevenir a los usuarios de dichos ataques. 

El uso de herramientas o procedimientos específicos es esencial para conocer las amenazas a las que una empresa se enfrenta y poder diseñar una estrategia para la prevención de ciberataques o fallas en los sistemas que conlleven a un ciberataque posterior. 

Bajo las siglas tácticas, técnicas, y saber generalizado del adversario, MITRE ATT&CK es una matriz que permite el seguimiento y análisis de incidentes detectados en el ámbito industrial, recopilando una amplia variedad de tácticas, técnicas y procedimientos empleados.

eBook - Ciberataques más peligrosos

¿Cómo funciona MITRE ATT&CK?

Esta matriz presentada en 2013, pretende establecer una serie de parámetros generales a la hora de clasificar a los ciberdelincuentes en tácticas, técnicas y procedimientos. En un inicio esta matriz sólo se aplicaba para ciertos sectores, pero actualmente es aplicable a diferentes ámbitos, permitiendo así la detección y prevención de ciberataques en más sectores empresariales.

Las matrices se fundamentan en tácticas y técnicas

Las tácticas se refieren a los métodos específicos empleados para lograr un objetivo determinado. 

Las técnicas describen la manera en que se ejecutan las acciones específicas para alcanzar dicho objetivo.

Las tácticas que se emplean para desarrollar la matriz MITRE ATT&CK son las siguientes:

  • Reconocimiento. Recolección de datos para planificar futuras operaciones del adversario, es decir, información sobre la organización objetivo.

  • Desarrollo de recursos. Asignar los recursos necesarios para llevar a cabo la operación de ataque.

  • Acceso inicial. Entrada en el sistema de la organización o empresa objetivo.

  • Ejecución. Ejecución de código malicioso controlado por el adversario en un sistema local o remoto.

  • Persistencia. Conservar el acceso a los sistemas comprometidos en caso de cierres o reconfiguraciones.

  • Aumento de privilegios. Escalada en los privilegios hasta llegar a un nivel de administrador en el sistema objetivo.

  • Evasión de defensa. Evitar la detección de la intrusión en el sistema afectado.

  • Acceso a credenciales. Robo de credenciales personales como nombres de usuario o contraseñas.

  • Descubrimiento. Técnicas que se implementan para conocer mejor el sistema comprometido y la red interna.

  • Movimiento lateral. Conseguir acceso a información o datos adicionales del sistema afectado.

  • Recopilación. Recopilar información sobre el objetivo del ataque, para posteriormente cifrarla o filtrarla.

  • Comando y control. Establecer comunicación con sistemas comprometidos para controlarlos, imitando el tráfico web habitual para interactuar con una red de víctimas.

  • Exfiltración. Hacer un traspaso de los datos robados a una cuenta en la nube.

  • Impacto. Cifrar los datos de la organización comprometida con ransomware.

¿Para qué se utiliza MITRE ATT&CK?

Esta matriz es de gran utilidad a las organizaciones para poder prepararse y prevenir posibles ciberataques a sus infraestructuras. El objetivo de esta metodología es democratizar el conocimiento que existe sobre los comportamientos de los ciberdelincuentes.

Además, MITRE ATT&CK cuenta con herramientas como ATT&CK Navigator, que simplifica la exploración y el uso de la matriz ATT&CK, ofreciendo una manera efectiva de administrar la información sobre las tácticas y técnicas empleadas por los atacantes.

Detección y respuesta

Permite a los equipos de respuesta comprender mejor las tácticas y técnicas utilizadas en un ataque, facilitando un análisis más rápido y preciso. Basándose en la matriz, las empresas pueden desarrollar planes de respuesta más efectivos y adaptados a las amenazas específicas que enfrentan y las posibles brechas de seguridad que existan en sus sistemas.

Evaluación de seguridad

La matriz ayuda a las empresas a identificar posibles vulnerabilidades y brechas en sus sistemas de seguridad al analizar las técnicas de ataque que podrían ser utilizadas por los ciberdelincuentes. 

También proporciona una guía detallada sobre cómo los atacantes operan, lo que permite a las empresas desarrollar y fortalecer sus defensas contra las tácticas y técnicas recogidas en la matriz.

Educación y entrenamiento

La matriz resulta útil para entrenar y educar a los equipos de seguridad en función de las técnicas y tácticas recogidas en la matriz. Para poder entrenar a los equipos, se realizan simulaciones de ciberataques para que los sistemas mejoren su capacidad de respuesta frente a posibles ciberataques.

ESED Attack, solución de ESED basada en MITRE ATT&CK

En ESED creemos que, para prevenir y/o evitar cualquier ciberataque, primero debemos saber a qué nos enfrentamos. Para poder conocer las amenazas a las que un sistema es vulnerable, en ESED hemos diseñado y desarrollado nuestra solución ESED Attack. 

Con ESED Attack, lanzamos ataques controlados e inocuos contra un sistema informático para conocer su nivel de seguridad y detectar las vulnerabilidades que pueden poner en riesgo la información de cualquier empresa. Para lanzar y categorizar dichos ataques, nos basamos en el marco de ciberseguridad MITRE ATT&CK.

Utilizamos la tabla MITRE para simular las técnicas, con acciones específicas, que lanzan los atacantes contra los sistemas. Son técnicas reales, pero sin el uso de malware o código malicioso, que sirven para detectar brechas de seguridad.

Para más información acerca de ESED Attack, puedes descargarte el manual completo a través del siguiente enlace.