¿Qué es Mitre ATT&CK? (Por Diego Llovet -Encargado Operaciones de TI y Seguridad -QDC )
Mitre ATT&CK (Adversarial Tactics, Techniques & Common Knowledge), es un modelo de referencia que enumera y organiza las tácticas, técnicas y procedimientos que los adversarios emplean para comprometer sistemas, redes y entornos empresariales.
Es una base de conocimiento del comportamiento de los adversarios, basado en observaciones reales de nuestro mundo.
Es libre, abierto y accesible a todo el mundo con contribuciones de la comunidad.
El marco ATT&CK es útil para las organizaciones porque les ayuda a entender cómo funcionan los ataques, lo que permite desarrollar estrategias de defensa efectivas.
Mitre ATT&CK se puede utilizar, entre otras cosas, para:
- Visualizar Ataques, Adversarios, Técnicas
- Evaluar Adversarios, Ataques, Defensas, El nivel de madurez de SOC
- Mapear Riesgos, Brecha defensiva
- Investigar Ataques, Incidentes.
Principalmente es utilizado como una herramienta para la evaluación de riesgos y la planificación de la defensa, permitiendo a los equipos de seguridad identificar las vulnerabilidades y los vectores de ataque más probables que podrían ser utilizados por los adversarios para infiltrarse en una red o sistema.
El marco también proporciona un lenguaje común para que los equipos de seguridad puedan comunicarse y colaborar con mayor eficacia en la identificación y mitigación de amenazas.
ATT&CK se enfoca en el nivel más alto de la pirámide de dolor de David Bianco.
En esta pirámide se indica, por cada nivel, la relación entre los diferentes tipos de indicadores que se pueden utilizar para detectar las actividades de un adversario y cuánto dolor le causará cuando se pueda bloquear esos

Las Tácticas, Técnicas y Procedimientos (TTP) constituyen los indicadores más valiosos y efectivos para detectar ataques, ya que reflejan el comportamiento de un atacante y ayudan a comprender la forma en la que realiza sus ataques. Detectar y prevenir estos indicadores implica hacer más «doloroso», y, por tanto, más costoso para el atacante conseguir su objetivo.
MITRE ATT&CK se separa en diferentes matrices: Enterprise, Mobile e ICS. Cada una de éstas contiene diferentes tácticas y técnicas asociadas

Las matrices se componen de varias partes:
- Tácticas: representan las metas u objetivos de los adversarios, o las razones (Por qué) por las cuales estas llevan a cabo esa acción.
- Técnicas: son los medios con los cuales los atacantes alcanzan sus objetivos. Son el Cómo el adversario realiza las acciones.
- Sub-Técnicas: Describen el comportamiento del adversario para alcanzar sus objetivos de una forma más detallada, y son a menudo más específicas a la plataforma.
- Procedimientos: Implementaciones específicas que usan los adversarios para las técnicas y sub-técnicas.
- Software: Son las herramientas o malware usado por un adversario durante su intrusión.
- Grupo: Representan las actividades relacionadas de intrusión que son seguidas bajo un nombre en común.
- Táctica: El objetivo táctico del atacante. —-> Para qué?
- Técnica: La manera de ejecución de la táctica. —-> Cómo?
- Software: Las herramientas utilizadas —-> Qué?
- Grupo: Los «actores»-adversarios —-> Quién?
Mitre ATT&CK describe actualmente catorce tácticas que los adversarios pueden utilizar para comprometer sistemas y redes.
1- Reconnaissance: Recopilación de información
2- Resource Development: Desarrollo de recursos a ser utilizados en la campaña de ataque
3- Inicial access: Intento de ingresar a la red
4- Execution: Intento de ejecutar código malicioso
5- Persistence: El adversario trata de mantenerse «vivo»
6- Privilege escalation: El adversario trata de ganar privilegios más altos
7- Defense evasion: Se busca evadir las defensas actuales del atacado
8- Credencial access: El adversario trata de robar credenciales y usuarios
9- Discovery: Trata de descubrir su entorno
10- Lateral movement: El adversario trata de moverse por la red del atacado
11- Collection: Recolecta información de su interés para cumplir su objetivo
12- Command and Control: Trata de comunicarse con los sistemas para controlarlos
13- Exfiltration: Trata de robar información
14- Impact: Trata de manipular, interrumpir o destruir el sistema o la información.