Introducción a ATT&CK

  ATT&CK de Mitre (organización estadounidense sin ánimo de lucro que provee ingeniería de sistemas, investigación y desarrollo, y soporte sobre tecnologías de la información al gobierno de Estados Unidos de América) es una base de conocimiento global de tácticas, técnicas y procedimientos comunes que los adversarios utilizan en ciberataques. Se presenta en forma de una matriz que clasifica las acciones de los ciberdelincuentes y ayuda a equipos de seguridad a comprender, preparar y defenderse de las amenazas.

  En su momento, este marco pretendía ser un estándar para describir y categorizar comportamientos de los atacantes y clasificar los mismos en tácticas, técnicas y procedimientos. Actualmente, el proyecto cuenta con varias matrices para diferentes ámbitos, donde se recopilan diferentes tácticas y técnicas dependiendo del tema abordado. Las matrices se basan en tácticas, que son métodos utilizados para alcanzar un objetivo específico; y técnicas, que definen la forma de realizar acciones o estrategias concretas para alcanzar diferentes objetivos definidos dentro de cada táctica. Ambas poseen un identificador único asociado que permite hacer una referencia a ellas sin generar dudas.

  Esta base de datos en línea (se accede desde este enlace) se organiza en matrices que representan las diferentes fases de un ataque, desde el acceso inicial hasta la exfiltración de datos, detallando las tácticas (el porqué de un ataque) y las técnicas (el cómo).

COMPONENTES BÁSICOS

  ATT&CK posee los siguientes componentes principales:

•   Tácticas: Los objetivos de alto nivel del atacante, como "Acceso Inicial" o "Ejecución". Cada una de ellas representa un objetivo adversario concreto, algo que el atacante quiere conseguir en un momento dado; así. éstas se corresponden estrechamente con las etapas o fases de un ciberataque. Se encuentran en el menú de la matriz, aunque varían según la misma. Su identificador tiene la estructura "TAxxxx" ("xxxx" son números).
•   Técnicas: Los métodos específicos que utiliza el adversario para lograr un objetivo táctico. Representan la forma en que intentan lograr dicho objetivo. Pueden verse en columnas bajo cada técnica. Su identificador tiene la estructura "Txxxx" ("xxxx" son números).
•   Procedimientos ("Procedures", en inglés): El soporte lógico o las acciones específicas que un grupo de atacantes particular utiliza para implementar una técnica.

FUNCIONES

  Esta base de datos en línea posee las siguientes funciones básicas:

•   Análisis y modelado de amenazas: Permite entender el comportamiento de los ciberdelincuentes para modelar amenazas de manera más precisa.
•   Mejora de la defensa: Ayuda a los equipos de seguridad a identificar y cerrar vulnerabilidades, y a desarrollar estrategias de detección y prevención más efectivas.
•   Evaluación de productos: Permite evaluar la capacidad de los productos de ciberseguridad para detectar y responder a las amenazas.
•   Lenguaje común: Proporciona un lenguaje estandarizado para que los equipos de seguridad de diferentes organizaciones puedan comunicarse y coordinarse de manera más efectiva.

MATRICES

  ATT&CK organiza las tácticas y técnicas (y subtécnicas) de adversario en matrices. Cada matriz incluye tácticas y técnicas correspondientes a ataques en dominios específicos:

•   Matriz empresarial: Incluye todas las técnicas de los adversarios utilizadas en los ataques contra la infraestructura de la empresa. Esta matriz incluye submatrices para las plataformas Windows, MacOS y Linux, así como para la infraestructura de red, las plataformas en la nube y las tecnologías de contenedores. También incluye una matriz PRE de técnicas preparatorias utilizadas antes de un ataque.
•   Matriz móvil: Incluye técnicas utilizadas en ataques directos a dispositivos móviles y en ataques móviles basados en la red que no requieren acceso a un dispositivo móvil. Esta matriz incluye submatrices para las plataformas móviles iOS y Android.
•   Matriz SCI: Incluye técnicas utilizadas en ataques a sistemas de control industrial ("Industrial Control Systems", en inglés), en concreto la maquinaria, los dispositivos, los sensores y las redes que se utilizan para controlar o automatizar las operaciones de fábricas, empresas de servicios públicos, sistemas de transporte y otros proveedores de servicios críticos.

TÁCTICAS

  Las tácticas (mencionadas anteriormente) varían según la matriz que esté activada, pero suelen ser varias de las siguientes:

•   Reconocimiento: Recopilar información para planificar un ataque.
•   Desarrollo de recursos: Establecer recursos para apoyar las operaciones de ataque.
•   Acceso inicial: Penetrar en el sistema o red de destino.
•   Ejecución: Ejecutar programas o código maliciosos en el sistema comprometido.
•   Persistencia: Mantener el acceso al sistema comprometido (en caso de cierre o reconfiguraciones).
•   Aumento de privilegios: Obtener acceso o permisos de nivel superior.
•   Evasión de defensa: Evitar la detección una vez dentro de un sistema.
•   Acceso a credenciales: Robar nombres de usuario, contraseñas y otras credenciales de inicio de sesión.
•   Descubrimiento: Investigar el entorno objetivo para saber qué recursos son accesibles o controlables durante un ataque planificado.
•   Movimiento lateral: Obtener acceso a recursos adicionales dentro del sistema.
•   Recopilación: Recopilar datos relacionados con el objetivo del ataque.
•   Comando y control: Establecer comunicaciones encubiertas/indetectables que permitan al atacante controlar el sistema.
•   Exfiltración: Robar datos del sistema.
•   Impacto: Interrupción, corrupción, desactivación o destrucción de datos o procesos empresariales.

TÉCNICAS

  Cada táctica tiene un número determinado de técnicas, de las que ATT&CK proporciona la siguiente información (pulsando sobre el nombre de la misma en la matriz):

•   Descripción y visión general de la técnica.
•   Cualquier subtécnica conocida asociada con la técnica.
•   Ejemplos de procedimientos relacionados: Pueden incluir formas en que los grupos de ataque utilizan la técnica, o tipos de soporte lógico malicioso utilizados para ejecutar la técnica.
•   Mitigaciones: Prácticas de seguridad o soporte lógico que pueden bloquear o abordar la técnica.
•   Métodos de detección: Normalmente se trata de datos de registro o fuentes de datos del sistema que los equipos de seguridad o el soporte lógico de seguridad pueden supervisar en busca de pruebas de la técnica.

NAVEGADOR

  El navegador de ATT&CK  ("ATT&CK Navigator", en inglés) es una herramienta de código abierto para buscar, filtrar, anotar y presentar datos desde la base de conocimientos. El usuario puede utilizarlo para identificar y comparar rápidamente las tácticas y técnicas utilizadas por determinados grupos de amenazas, identificar el soporte lógico utilizado para ejecutar una técnica específica, adecuar las mitigaciones a técnicas específicas, etc.

  Además, puede exportar resultados en formato gráfico JSON, Excel o SVG (para presentaciones). El usuario puede usarlo en línea (alojado en GitHub) o descargarlo en un ordenador local.

USO BÁSICO

  Una vez en la página de esta base de datos [está en inglés por defecto, aunque se puede traducir (algunas de sus funciones no funcionan correctamente en la versión traducida))], puede verse que muestra la matriz para empresas de modo predeterminado. Si se desea cambiar de matriz, hay que desplegar el menú "Matrices" y seleccionar el tipo de matriz que se desee.

Ejemplo de matriz de móvil.

  Se puede cambiar la vista para conocer las subtécnicas directamente pulsando en el botón "mostrar subtécnicas" sobre el menú de la matriz (pulsar el botón "ocultar subtécnicas" para revertir el efecto). Las subtécnicas aparecen desplegadas desde las respectivas técnicas. Asimismo, el desplegable "Disposición" se puede cambiar de "lateral" (las subtécnicas se desplegarán al lado de la técnica) a "departamento" (las subtécnicas se desplegarán bajo la técnica).

  Para conocer los detalles de una táctica (en este ejemplo "Reconocimiento") o de una técnica ("Adquirir acceso", en este ejemplo) simplemente se pulsa sobre la misma para acceder a la pantalla adecuada (cuando se pasa con el ratón sobre la táctica o sobre la técnica, aparecerá su número identificador en un cuadro contextual). En el caso de las tácticas, la pantalla mostrará una descripción y visión general de la misma y una tabla con las técnicas relacionadas; la pantalla de las técnicas ya se explicó en la sección anterior correspondiente.

  

  Además, es posible ver las diferentes tácticas y técnicas en una pantalla con una tabla desplegando el menú correspondiente en la parte superior de la página y pulsando sobre la opción adecuada.

Ejemplo de tácticas de empresa.

Ejemplo de técnicas de SCI.

  La opción "Defensas" del menú principal muestra varias opciones de salvaguardas contra los ciberataques. Si se despliega, pueden verse las siguientes opciones: Mitigaciones (índice de todas las mitigaciones a las que se hace referencia en la base de conocimientos; los usuarios pueden profundizar para saber qué técnicas aborda una mitigación concreta, cuyas opciones se subdividen del mismo modo que los tipos de matrices), activos (dispositivos y sistemas que se encuentran comúnmente en entornos de sistemas de control industrial) y detecciones [se subdivide en: Estrategias de detección (definen enfoques de alto nivel para detectar técnicas adversarias específicas), analítica (contienen lógica de detección específica de la plataforma y representan los detalles de implementación de una estrategia de detección) y componentes de datos (identifican las propiedades/valores específicos relevantes para detectar una técnica o subtécnica determinada de ATT&CK)].

Ejemplo de pantalla de activos.

  La Inteligencia sobre Ciberamenazas ["Cyber Threat Intelligence" ("CTI"), en inglés] es la actividad de recopilación de información sobre las amenazas o los actores de las mismas. Puede ayudar a mitigar los riesgos porque los analistas tienen datos útiles para tomar la decisión correcta. CTI se basa en múltiples tipos de fuentes, como la inteligencia de código abierto, la inteligencia de redes sociales, la inteligencia humana, la inteligencia técnica o incluso la inteligencia procedente del análisis de la red profunda.

  La sección de CTI de esta base de datos en línea posee las secciones "Grupos" (índice de grupos adversarios y las tácticas y técnicas de ataque que emplean), "Soporte lógico" (índice del soporte lógico o los servicios maliciosos que los atacantes pueden utilizar para ejecutar determinadas técnicas) y "Campañas" (base de datos de campañas de ciberataque o ciberespionaje, que incluye información sobre los grupos que las lanzaron y las técnicas y programas informáticos empleados).

  Las últimas secciones del menú principal de ATT&CK son propias de casi cualquier página de red.

  La sección "Recursos" permite al usuario acceder a información sobre la propia página (guía rápida de inicio, preguntas frecuentes, versión...), la sección "Benefactores" muestra información sobre las empresas que respaldan esta base de datos en línea y proporciona medios para convertir al usuario en benefactor de la misma, la sección "Blog" lleva a la bitácora de la página.

Ejemplo de pantalla de preguntas frecuentes.

  En ciertas pantallas existe un panel izquierdo con el que se puede navegar más rápidamente entre las secciones, ya que si se pulsa en alguna de sus opciones (que son enlaces), se irá directamente a dicha sección.

  Las secciones principales tienen una flecha para poder desplegar sus respectivas subsecciones.

 En este ejemplo se pulsa sobre la subsección "Descubrimiento".

  Por último, en las pantallas de cada tipo de matriz existen dos enlaces:

•   Ver en el navegador ATT&CK: Se accede al navegador ATT&CK.
•   Versión Enlace permanente: Se pasa a la versión de enlace permanente de la página.

  Espero que la presente entrada haya sido interesante para el lector; de ser así, aguardo que el lector la comente y/o la comparta, por favor.