Mitre ATT&CK (https://attack.mitre.org/) es una base de conocimientos de técnicas y procedimientos de ataques elaborado por la MITRE CORPORATION. Permite organizar y categorizar los distintos tipos de ataques, amenazas y procedimientos realizados por los distintos atacantes. Publicada en 2013, desde entonces se ha convertido en el estándar para describir las tácticas, técnicas y procedimientos (TTPs) de los atacantes avanzados.

Los encargados de defender los sistemas computacionales de organizaciones podemos aprovechar Mitre ATT&CK de las siguientes formas:

1. Identificando cuáles son los TTPs que un actor malicioso persistente (APT) está utilizando y validar que los controles de seguridad existentes protegen contra ellos
2. Creando un clasificación estándar de ataques que podemos utilizar para comunicarnos con los proveedores de servicios de seguridad que utilizamos
3. Reconocer cuáles son las oportunidades de mejoras que tenemos en cuanto a la cobertura para la detección de ataques avanzados

Mitre ATT&CK tiene diez (10) matrices clasificadas en tres tipos en las cuales apoyarnos:

1. Matrices para Empresas: contiene TTPs para entornos: Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Network, Containers.

2. Matrices para Seguridad Móvil: cubren TTPs para las plataformas: Android, iOS.

3. Matriz para ICS: contiene TTPs para sistemas de control industrial.

Figura #1 –

La matriz empresarial para entornos Windows tiene las siguientes tácticas:

Táctica	Descripción
Acceso Inicial	Intentan entrar en su red.
Ejecución	Ejecutan un código malicioso.
Persistencia	Mantienen su punto de apoyo.
Elevación de Privilegios	Obtiene permisos de nivel superior.
Evasión de las Defensas	Evita ser detectado.
Acceso a Credenciales	Roba nombres de cuentas y contraseñas.
Descubrimiento	Averigua sobre su entorno.
Movimiento Lateral	Se mueve a través de su entorno.
Recolección	Recopila datos de interés para su objetivo.
Control Remoto	Se comunica con los sistemas comprometidos para controlarlos.
Extracción de Información	Robar datos.
Impacto	Manipula, interrumpe o destruye sus sistemas y datos.

Mitre publica otros recursos muy valiosos que se apalancan en el Mitre ATT&CK: el Mitre ATT&CK Navigator y Mitre ATT&CK Evaluations.

Mitre ATT&CK Navigator (https://mitre-attack.github.io/attack-navigator/) permite visualizar por medio de capas (layers) la cobertura defensiva, la planificación del equipo rojo/azul, la frecuencia de las técnicas detectadas y más.

La barra de herramientas de MITRE ATT&CK Navigator se divide en 3 partes las cuales son:

selección de control, capas de control, técnicas de control. Estas partes de la barra permiten visualizar lo que deseemos aprender y tener mayor manejo de la información con opciones a exportar a texto plano y excel.

Mitre ATT&CK Evaluations (https://attackevals.mitre-engenuity.org/enterprise/) son evaluaciones de productos de software de seguridad contra reconocidas TTPs de actores maliciosos. Es una muy buena herramienta para evaluar el nivel de detección que tiene una herramienta de seguridad contra TTPs específicos.

En resumen Mitre ATT&CK son toda una serie de taxonomías y servicios de acceso libre que han ayudado muchísimo a los proveedores de servicios de seguridad informática y a los encargados de proteger entornos computacionales.

Nosotros los usamos como parte de las herramientas que utilizamos para dar nuestros servicios y te recomendamos que lo uses también.

Si deseas elevar la seguridad de su entornos a través de nuestros servicios de consultoría en evaluaciones de seguridad o pruebas de penetración, no dude en escribirnos a info@greenfencesec.com.

Imagen de Mohamed Hassan vía Pixabay.com bajo licencia creative commons.