Entender Mitre, un paso para deconstruir al Hacker

El día de hoy, viernes 24 de marzo, en la ciudad de Punta del Este, se celebra un evento llamado Campus Party, el festival de innovación, creatividad y tecnología más importante del mundo, un espacio de reunión tecnológica para debatir los temas más relevantes del momento. En ese escenario, Ignacio Pérez, Gerente general de Quinta Disciplina Consultores, participó como conferencista en el tema de seguridad en una charla titulada “Deconstruir al Hacker, un nuevo enfoque de la ciberseguridad” donde analizó desde el hacker como individuo hasta las técnicas y tácticas que realiza para atacar organizaciones y exponer contenido sensible, sea en la dark web u otros medios masivos. Uno de los puntos relevantes en la charla fue la descripción de la matriz desarrollada por la empresa MITRE, y para ampliar dicha información, Diego Llovet, experto en ciberseguridad de Quinta Disciplina Consultores nos presenta en esta oportunidad un breve resumen para entender mejor el tema.
Publicado el 24/03/2023

¿Qué es Mitre ATT&CK? (Por Diego Llovet -Encargado Operaciones de TI y Seguridad -QDC )

Mitre ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), es un modelo de referencia que enumera y organiza las tácticas, técnicas y procedimientos que los adversarios emplean para comprometer sistemas, redes y entornos empresariales.

Es una base de conocimiento del comportamiento de los adversarios, basado en observaciones reales de nuestro mundo.
Es libre, abierto y accesible a todo el mundo con contribuciones de la comunidad.

El marco ATT&CK es útil para las organizaciones porque les ayuda a entender cómo funcionan los ataques, lo que permite desarrollar estrategias de defensa efectivas.

Mitre ATT&CK se puede utilizar, entre otras cosas, para:

  • Visualizar Ataques, Adversarios, Técnicas
  • Evaluar Adversarios, Ataques, Defensas, El nivel de madurez de SOC
  • Mapear Riesgos, Brecha defensiva
  • Investigar Ataques, Incidentes.

Principalmente es utilizado como una herramienta para la evaluación de riesgos y la planificación de la defensa, permitiendo a los equipos de seguridad identificar las vulnerabilidades y los vectores de ataque más probables que podrían ser utilizados por los adversarios para infiltrarse en una red o sistema.

El marco también proporciona un lenguaje común para que los equipos de seguridad puedan comunicarse y colaborar con mayor eficacia en la identificación y mitigación de amenazas.

ATT&CK se enfoca en el nivel más alto de la pirámide de dolor de David Bianco.

En esta pirámide se indica, por cada nivel, la relación entre los diferentes tipos de indicadores que se pueden utilizar para detectar las actividades de un adversario y cuánto dolor le causará cuando se pueda bloquear esos

Las Tácticas, Técnicas y Procedimientos (TTP) constituyen los indicadores más valiosos y efectivos para detectar ataques, ya que reflejan el comportamiento de un atacante y ayudan a comprender la forma en la que realiza sus ataques. Detectar y prevenir estos indicadores implica hacer más «doloroso», y, por tanto, más costoso para el atacante conseguir su objetivo.

MITRE ATT&CK se separa en diferentes matrices: Enterprise, Mobile e ICS. Cada una de éstas contiene diferentes tácticas y técnicas asociadas

Matriz ATT&CK Enterprise en https://attack.mitre.org/matrices/enterprise/

Las matrices se componen de varias partes:

  • Tácticas: representan las metas u objetivos de los adversarios, o las razones (Por qué) por las cuales estas llevan a cabo esa acción.
  • Técnicas: son los medios con los cuales los atacantes alcanzan sus objetivos. Son el Cómo el adversario realiza las acciones.
  • Sub-Técnicas: Describen el comportamiento del adversario para alcanzar sus objetivos de una forma más detallada, y son a menudo más específicas a la plataforma.
  • Procedimientos: Implementaciones específicas que usan los adversarios para las técnicas y sub-técnicas.
  • Software: Son las herramientas o malware usado por un adversario durante su intrusión.
  • Grupo: Representan las actividades relacionadas de intrusión que son seguidas bajo un nombre en común.
  • Táctica: El objetivo táctico del atacante. —-> Para qué?
  • Técnica: La manera de ejecución de la táctica. —-> Cómo?
  • Software: Las herramientas utilizadas —-> Qué?
  • Grupo: Los «actores»-adversarios —-> Quién?

Mitre ATT&CK describe actualmente catorce tácticas que los adversarios pueden utilizar para comprometer sistemas y redes.

1- Reconnaissance: Recopilación de información
2- Resource Development: Desarrollo de recursos a ser utilizados en la campaña de ataque
3- Inicial access: Intento de ingresar a la red
4- Execution: Intento de ejecutar código malicioso
5- Persistence: El adversario trata de mantenerse «vivo»
6- Privilege escalation: El adversario trata de ganar privilegios más altos
7- Defense evasion: Se busca evadir las defensas actuales del atacado
8- Credencial access: El adversario trata de robar credenciales y usuarios
9- Discovery: Trata de descubrir su entorno
10- Lateral movement: El adversario trata de moverse por la red del atacado
11- Collection: Recolecta información de su interés para cumplir su objetivo
12- Command and Control: Trata de comunicarse con los sistemas para controlarlos
13- Exfiltration: Trata de robar información
14- Impact: Trata de manipular, interrumpir o destruir el sistema o la información.