MITRE ATT&CK: La magia de las mitigaciones
Ese momento de “¡oh, así era!” no siempre sucede de inmediato.
Al aprender cosas nuevas, a veces necesitamos reducir la velocidad e ir asimilando todo poco a poco. Entender MITRE ATT&CK es así. La noción de pensar como un atacante tenía sentido y su estructura era clara pero luego llegó el momento del “¿y ahora qué?” entonces descubrí la clave para empezar y me gustaría compartirla contigo…
Conceptos básicos de ATT&CK
ATT&CK es la abreviatura de Tácticas Adversarias, Técnicas y Conocimiento Común. Durante años, los investigadores de MITRE han estado investigando las tácticas, técnicas y procedimientos (TTTPs) utilizados por los atacantes cibernéticos. Luego catalogaron TTPs en matrices ATT&CK, lo que resultó en una amplia base de conocimiento y lenguaje común sobre el comportamiento adversario.
Es un enfoque único, algo así como el contrario de las mejores prácticas como el marco de ciberseguridad NIST o los controles CIS. Por ejemplo, en lugar de decir “proteger contra amenazas de correo electrónico”, ATT&CK describe cómo los hackers envían correos electrónicos con enlaces acortados por URL diseñados para engañar a la gente. Los correos electrónicos parecen legítimos y sus enlaces abreviados disfrazan el destino real. Cuando los usuarios hacen clic, el sitio web continúa su explotación contra el usuario o dispositivo. ¿Ves cómo ATT&CK es diferente? Comienza mostrando cómo se comportan los atacantes.
¿Cómo empezar con ATT&CK?
Parece que no soy el único que se preguntó cómo empezar. MITRE tiene varios recursos disponibles para ayudar con eso: una serie de blogs, un ebook, un artículo de filosofía. Estoy siendo un poco gracioso aquí, pero tal vez necesitan una guía de introducción para empezar. La primer sugerencia es comenzar con una táctica a la vez. En Enterprise Matrix, sólo hay 12 pero la complejidad crece una vez que profundizas en las Técnicas y Sub-Técnicas asociadas con cada una de ellas. Más aún cuando se profundiza en ejemplos de procedimiento = 156 Técnicas y 272 Sub-Técnicas, ¿alguien? Ni siquiera he intentado contar todos los procedimientos. Pero aquí está la cosa a pesar de la larga lista de tácticas, técnicas y procedimientos, todos ellos conducen a una lista finita y relativamente corta de mitigaciones de ATT&CK y las mitigaciones son el “qué hacer” sobre los TTTPs. Así que, a mi parecer las mitigaciones son la clave.
La magia de la mitigación
Si estás empezando con ATT&CK, recomiendo encarecidamente mirar mitigaciones primero. Puede evaluar su programa y descubrir debilidades en ellos y luego puede hablar sobre sus prioridades con proveedores que también hablan ATT&CK. Después de todo, es mucho más fácil tener conversaciones sobre la necesidad de “Restringir el contenido basado en web” que hacer una letanía de preguntas como, “¿cómo evitar que alguien robe un token de acceso a la aplicación? ¿Y cómo detener un compromiso de conducción?” Es precisamente por eso que, aquí en Cisco, hemos asignado nuestras capacidades a mitigaciones ATT&CK. Después de todo, una vez que hayas examinado la lista de mitigaciones y decidido tus prioridades, lo más probable es que necesites un producto cibernético o servicio para ayudarte. Y ahí lo tienes: La magia de las mitigaciones es la clave para empezar a usar ATT&CK.
Las técnicas y procedimientos de ATT&CK son útiles para conversaciones más profundas. Si ya has descubierto los casos de uso de MITRE, probablemente puedas decir que he centrado toda esta discusión en la evaluación de brechas defensivas. Asumo que es la razón por la que también te interesa ATT&CK. Pero tal vez me equivoque. Hay mucho valor más allá de la mitigación, así que no pases por alto el detalle.
Echa un vistazo a este Threat Ban Thursday que impartí para comprender cómo actúan los atacantes de principio a fin en la red y obtener más información sobre ATT&CK para inteligencia de amenazas, modelado y caza.
En Cisco, entendemos MITRE ATT&CK, conocemos nuestras soluciones, y podemos responder a todas las preguntas técnicas que tiene. Sólo pregúntanos. Estamos aquí para ayudar.
Tags:
