+ INFORMACIÓN

¡Comparte en redes sociales!

Profundizando en MITRE ATT&CK: Navegando por el laberinto de la ciberseguridad

En el primer artículo, exploramos brevemente qué es MITRE ATT&CK y su importancia en la ciberseguridad. Al igual que un mapa que traza las rutas a través de un laberinto, MITRE ATT&CK proporciona una guía de las técnicas y tácticas utilizadas por los ciberdelincuentes. Ahora, nos sumergiremos más profundamente para descubrir cómo este marco se puede usar para defenderse de las amenazas persistentes avanzadas (APTs) y para mejorar las operaciones de los Red Teams.

Desglose detallado de MITRE ATT&CK

Matriz ATT&CK

amenazas en ciberseguridad

La matriz ATT&CK es una especie de mapa táctico, que proporciona una vista detallada de las tácticas, técnicas y procedimientos (TTPs) que los ciberdelincuentes pueden usar en un ataque. Cada táctica representa una etapa en el “ciclo de vida” de un ataque, mientras que las técnicas asociadas representan las diferentes formas en que un adversario puede lograr esa táctica. Por ejemplo, bajo la táctica “Acceso inicial”, podríamos encontrar técnicas como “Spearphishing” o “Explotación de vulnerabilidades públicas”.

Técnicas y tácticas

Las técnicas son los métodos específicos que los adversarios usan para lograr sus objetivos. Son los pasos concretos que un atacante podría seguir. Por otro lado, las tácticas son los objetivos de alto nivel que un adversario busca lograr, como obtener acceso inicial, movimiento lateral, o exfiltración de datos. Cada técnica está asociada con una o más tácticas, creando un panorama comprensivo de cómo podría desarrollarse un ataque.

Procedimientos

Los procedimientos son implementaciones específicas de las técnicas, y proporcionan detalles adicionales sobre cómo se llevan a cabo los ataques. Por ejemplo, bajo la técnica “Spearphishing”, un procedimiento podría ser “Enviar un correo electrónico con un archivo adjunto malicioso”. Los procedimientos ayudan a contextualizar las técnicas, y pueden ser útiles para identificar los comportamientos específicos de un adversario o grupo de amenazas.

Aplicación de MITRE ATT&CK para el análisis de APTs

La matriz ATT&CK de MITRE proporciona una base sólida para el análisis de APTs. Con su ayuda, los defensores pueden identificar las tácticas y técnicas que un APT específico puede usar, lo que ayuda a prever, detectar y contrarrestar eficazmente sus ataques. La matriz ATT&CK también puede ser útil para los investigadores de amenazas, ya que les permite clasificar y rastrear las actividades de los grupos APT, proporcionando un lenguaje común para compartir información sobre estas amenazas.

Uso de ATT&CK en operaciones de Red Teaming

En el contexto de Red Teaming, ATT&CK puede ser una herramienta invaluable. Los equipos de Red Team pueden usar la matriz para planificar y ejecutar simulacros de ataque, seleccionando técnicas y tácticas basadas en las que son más relevantes para su organización. Al hacerlo, pueden descubrir y destacar vulnerabilidades en la postura de seguridad de la organización, permitiendo que se tomen medidas correctivas.

Caso de estudio: Mapeo de una APT específica a ATT&CK

amenazas en ciberseguridad 2

APT28

Ahora, consideremos el caso de APT28, también conocido como “Fancy Bear” o “Sofacy”. Este grupo de amenazas, presuntamente patrocinado por el gobierno ruso, ha estado activo durante más de una década y es famoso por su implicación en varios ciberataques de alto perfil. APT28 ha empleado una variedad de técnicas y tácticas a lo largo de los años, que se pueden mapear a la matriz ATT&CK de MITRE.

Por ejemplo, han utilizado la técnica de “Spearphishing Attachment” (T1566.001) para la Inicialización. Esto implica el uso de correos electrónicos de phishing dirigidos que contienen archivos adjuntos maliciosos.

Otra técnica frecuentemente utilizada por APT28 es “Command and Scripting Interpreter: PowerShell” (T1059.001). Esto implica el uso de PowerShell para ejecutar comandos maliciosos y scripts.

APT29

Consideremos el caso de APT29, también conocido como “The Dukes” o “Cozy Bear”. Este grupo de amenazas, presuntamente asociado con el gobierno ruso, ha estado activo durante más de una década, y es conocido por sus ataques sofisticados y altamente dirigidos. Usando la matriz ATT&CK, podemos mapear las técnicas y tácticas conocidas de APT29, lo que nos permite entender mejor sus operaciones y desarrollar estrategias de defensa efectivas.

Una técnica que APT29 ha empleado es “User Execution: Malicious Link” (T1204.001). Esto implica el uso de enlaces maliciosos que el usuario final debe abrir.

Además, APT29 ha utilizado la técnica “Exploitation for Privilege Escalation” (T1068), que implica el uso de vulnerabilidades en el software para ganar privilegios más altos en un sistema.

Es importante notar que estos grupos de amenazas avanzadas están en constante evolución, por lo que las técnicas y tácticas que utilizan pueden cambiar con el tiempo. La matriz ATT&CK de MITRE proporciona un marco útil para entender y rastrear estas técnicas y tácticas a medida que evolucionan.

Conclusión

La comprensión profunda de MITRE ATT&CK puede brindar un gran valor a las organizaciones. Permite una mejor preparación frente a las APTs, mejora la eficacia de los Red Teams, y proporciona un marco común para compartir información sobre amenazas. Al final del día, ATT&CK es una herramienta que puede ayudar a las organizaciones a navegar el laberinto de la ciberseguridad.

Referencias

  • https://attack.mitre.org/
  • https://attack.mitre.org/matrices/enterprise/
  • https://attack.mitre.org/tactics/enterprise/
  • https://attack.mitre.org/groups/G0016/

¡Fórmate en la Escuela líder en empleabilidad y hazte un hueco en el sector de la Ciberseguridad a través de la mejor formación del mercado!

Suscríbete a nuestra newsletter para estar al día de todas las novedades

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.
Master Ciberseguridad Máster Profesional

Deja un comentario

EIP International Business School te informa que los datos del presente formulario serán tratados por Mainjobs Internacional Educativa y Tecnológica, S.A.U. como responsable de esta web. La finalidad de la recogida y tratamiento de los datos personales es gestionar tu suscripción a la newsletter así como para el envío de información comercial de los servicios del responsable del tratamiento. La legitimación es el consentimiento explícito del/a interesado/a. No se cederán datos a terceros, salvo obligación legal. Podrás ejercer tus derechos de acceso, rectificación, limitación y supresión de los datos en cumplimiento@grupomainjobs.com, así como el derecho a presentar una reclamación ante la autoridad de control. Puedes consultar la información adicional y detallada sobre Protección de datos en la Política de Privacidad que encontrarás en nuestra página web.