¿Qué es Mitre ATT&AK?

Bienvenidos de nuevo a un nuevo post de Hardsoft Security! Hoy os traigo una entrada algo diferente a lo normal, donde vamos a conocer ese framework/base de conocimiento tan conocida llamada ATT&AK de Mitre.

Mitre ATT&AK

¿Qué es Mitre ATT&AK?

Es una base de conocimiento, en la cual podemos encontrar tácticas, técnicas y conocimiento común de atacantes. Esta base de conocimiento, es globalmente accesible, donde podemos encontrar toda la información necesaria respecto a los ataques utilizados en internet. Mitre ATT&AK, se ha construido en base al comportamiento real de los ciberdelincuentes en la red o en que tácticas y técnicas se suelen utilizar por parte de estos grupos organizados.

Toda la información y conocimiento alojado en la base de conocimiento de esta herramienta, es utilizado para desarrollar métodos y metodologías para abarcar las posibles amenazas en los sectores privados, gubernamentales y desarrollar nuevos productos de seguridad. Gracias a este framework podemos conocer el comportamiento de grandes grupos de ciberdelincuentes y de esta manera poder obtener información e implementar medidas defensivas.

¿Para qué se utiliza Mitre ATT&AK?

Principalmente, se utiliza para desplegar, investigar y fortalecer las defensas de las infraestructuras de las compañías. Esto se realiza gracias a una matrices desarrolladas. Mitre ATT&AK, se distribuye en diferentes matrices:

  • ATT&AK Enterprise: La cual se compone de técnicas y tácticas que se aplican a los sistemas Windows, Linux y MacOS.
Mitre ATT&AK

  • ATT&AK Mobile: El cual se compone de técnicas y tácticas que afectan a dispositivos móviles.
Mitre ATT&AK

  • ATT&AK ICS: El cual se compone de técnicas y tácticas relacionadas con las acciones que realizan los atacantes al intentar realizar un ataque en controles industriales.

Las matrices se organizan por columnas, dónde el nombre corresponde al tipo de tácticas y después se agrupan las técnicas. Las tácnicas como ya sabemos es lo que intenta realizar el atacante y las técnicas, serían los métodos utilizados. Gracias a este framework, podemos ver información detallada de las tácticas y técnicas utilizadas, obteniendo información como descripción, ejemplos, referencias y sugerencias de mitigación y detección.

¿Cómo se aprovecha Mitre ATT&AK?

Se puede aprovechar de diferentes maneras:

  • Localizar defensas.
  • Entender las brechas de seguridad.
  • Utilizar la información para simulaciones de ataques.

Buenas prácticas asociadas a utilizar Mitre ATT&AK

Principalmente, se centran en las siguientes recomendaciones:

  • Centrar la atención en las tácticas cuando las técnicas sean ambiguas.
  • Seguir investigaciones externas en relación a detecciones y mitigaciones como las de JP-CERT (Comandos Windows utilizados por atacantes).
  • Compartir tus propias investigaciones de detección y mitigación de ataques.
  • Integrar la herramienta con terceros.

Ejemplo de utilización

En la siguiente imagen, vamos a ver un trazo que he seleccionado previamente como un posible ataque, este supuesto, trata de un posible ataque, que comienza con un «Spearphishing Attachment» (Initial Access), el cual tiene un «Malicious File» (Execution), seguido de un «Modify system Process» (Persistence), al cual se realiza una «Explotación for Privilege Escalation» (Privilege Escalation), para ir finalizando un «OS Credential Dumping – LSASS Memory» (Credential Access) y finalizar con «Lateral Movement – Pass The Hash».

A nivel de ejemplo, vamos a seleccionar la técnica utilizada para «Privilege Escalation» y vamos a ver toda la información que podemos obtener, como por ejemplo la descripción de la técnica:

Por otro lado, también podemos ver ejemplos de técnicas utilizadas por otros grupos de atacantes, los cuales, en la descripción nos proporcionan las técnicas más utilizadas por esos grupos organizados:

En caso de pulsar en uno de los ejemplos, específicamente en el la columna «ID», podemos ver la descripción e información de todas las técnicas utilizadas por ese grupo en particular:

Mitre ATT&AK

Y en caso de reconocer una de las técnicas, si pulsamos en ella, podemos ver que posibles recomendaciones nos propone el framework para mitigar estos ataques:

Mitre ATT&AK

E incluso, podemos ver una sección la cual nos informa de métodos de detección de este tipo de técnicas, enfocado al ámbito más defensivo:

Conclusión

Como conclusión, es altamente recomendable el uso y utilización de este tipo de frameworks a la hora de hacer más segura nuestra infraestructura e incluso de tomar como referencia para probar nuestras defensas o crear nuestras propias herramientas de detección/ataque.


🔒 Hardsoft Security ofrece servicios de consultoría en ciberseguridad, asegurando que tu negocio esté siempre protegido contra las amenazas más recientes. Y si estás buscando un alojamiento que ponga la seguridad primero, Secure Hosting es tu solución ideal. Ayudamos a mantener seguro tu sitio web con las mejores prácicas de ciberseguridad con nuestro asesoramiento en ciberseguridad especializado.

No esperes a ser el próximo objetivo. Asegura tu presencia online con las mejores soluciones y servicios del mercado. ¡Contacta con Hardsoft Security y Secure Hosting hoy mismo!

(La ciberseguridad no es un lujo, sino una necesidad. Protege tu inversión y tu reputación en línea.).

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.