Contenido

¿Cómo ha mejorado, adaptado y evolucionado MITRE ATT&CK?

Contenido

El ATT&CK de MITRE ha evolucionado, lo que demuestra la dedicación de la organización a mejorar y adaptar constantemente su inteligencia de amenazas para ayudar a los equipos de seguridad a contrarrestar los ciberataques. El hecho de que la matriz ATT&CK se utilice cada vez más como base de conocimientos sobre ciberseguridad y como recurso para identificar a los atacantes y sus tácticas dice mucho de su valor para mejorar la postura de seguridad de una organización.

ATT&CK son las siglas de Adversarial Tactics, Techniques, and Common Knowledge (Tácticas, Técnicas y Conocimientos Comunes de los Adversarios), que encapsulan su papel como herramienta para comprender y combatir las ciberamenazas. La nomenclatura del marco subraya su compromiso de ofrecer una inteligencia profunda y procesable en materia de ciberseguridad.

MITRE ATT&CK, un marco integral de ciberseguridad, ha evolucionado y se ha adaptado continuamente para adaptarse al ritmo de los grupos de ciberamenazas, proporcionando una detección de amenazas y contramedidas eficaces. MITRE ATT&CK proporciona información del mundo real sobre las tácticas y técnicas cambiantes de los ciberadversarios, así como conocimientos compartidos (información sobre los procedimientos) para permitir una defensa rápida y eficaz.

 

¿Cuáles son los tres componentes principales del marco ATT&CK de MITRE?

El marco ATT&CK se compone de tres elementos interconectados: tácticas, técnicas y procedimientos (TTP). Dispone de varias matrices ATT&CK, cada una de ellas dirigida a entornos distintos. Entre ellas se incluyen la matriz de empresa, móvil, nube y sistemas de control industrial (ICS). Las matrices de MITRE ofrecen a los equipos de seguridad una visión exhaustiva de las ciberamenazas y las TTP empleadas por los actores de amenazas clasificadas por vulnerabilidad.

En cada matriz, las columnas simbolizan las tácticas, las filas indican las técnicas y las celdas proporcionan detalles suplementarios, como procedimientos, grupos, software y mitigaciones asociadas para cada una de las técnicas específicas.

El marco de MITRE, que se actualiza periódicamente para seguir el ritmo del panorama de las ciberamenazas en el mundo real, siempre cambiante, es un activo fundamental para los profesionales de la ciberseguridad. Refuerza sus capacidades de inteligencia de amenazas, detección y respuesta.

El marco ATT&CK de MITRE pivota en torno a tres componentes principales actualizados para dar soporte a varios casos de uso, entre los que se incluyen el conocimiento del comportamiento de los adversarios y la respuesta a incidentes.

Tácticas

Las tácticas encapsulan los objetivos estratégicos que las ciberamenazas potenciales aspiran a lograr, incluyendo la obtención del acceso inicial, la ejecución, el compromiso persistente, la escalada de privilegios, la evasión de la defensa, el acceso a las credenciales, el descubrimiento, el movimiento lateral, la recopilación de datos, la exfiltración, la escalada de privilegios y el establecimiento del mando y el control.

Técnicas

Las técnicas detallan los métodos distintivos que emplean los actores de amenazas para lograr sus objetivos tácticos. Cada técnica ofrece una comprensión en profundidad de cómo se esforzará un adversario para llevar a cabo una táctica específica.

Como ejemplo, bajo la táctica de Reconocimiento, varias técnicas incluidas en la matriz son el Escaneo Activo (por ejemplo, en preparación para el acceso inicial, subtécnica-Escaneo de Bloques IP), Recopilación de Información sobre la Identidad de la Víctima (por ejemplo, para el spear phishing, subtécnica-Direcciones de Correo Electrónico), y Phishing para Obtener Información (por ejemplo, phishing de credenciales, subtécnica-Enlace de spear phishing).

Procedimientos

Los procedimientos denotan las acciones o pasos que el adversario emplea al ejecutar una técnica para lograr sus objetivos tácticos. Los procedimientos varían según los actores de amenazas, lo que demuestra las herramientas, los comandos y el malware (por ejemplo, ransomware) que emplean.

 

Historia del marco ATT&CK de MITRE

Impulsado por la comunidad desde el principio, el MITRE ATT&CK se lanzó inicialmente como un wiki con el Experimento Fort Meade (FMX) del MITRE. Para este experimento, los investigadores en ciberseguridad emularon el comportamiento tanto del adversario (equipo rojo) como del defensor (equipo azul) para comprender cómo protegerse mejor contra las ciberamenazas. Este experimento ayudó a dar forma al marco y a su enfoque en las observaciones del mundo real, incluida la detección de adversarios.

La primera versión incluía nueve tácticas que reflejaban las distintas fases del ciclo de vida de un ciberataque del adversario. Con el tiempo, el marco ha evolucionado y se ha ampliado, convirtiéndose en una base de conocimientos globalmente accesible sobre las tácticas de los adversarios y las nuevas técnicas de ciberataque.

El marco ATT&CK de MITRE ha proporcionado un lenguaje común para salvar las distancias entre los equipos de seguridad y otras partes interesadas en la cibernética.

Breve cronología del MITRE ATT&CK

  • 2013: MITRE ATT&CK: El marco de ciberseguridad proporcionaba tácticas, técnicas y procedimientos (TTP) comunes que las amenazas avanzadas persistentes utilizaban contra las redes empresariales de Windows.
  • 2015: ATT&CK para empresas: Se publicó la primera versión de la matriz ATT&CK Enterprise. Proporcionó una forma estructurada y organizada de comprender las tácticas y técnicas adversarias utilizadas para atacar entornos empresariales.
  • 2017: MITRE PRE-ATT&CK: El marco PRE-ATT&CK de MITRE aborda las preocupaciones de la comunidad sobre lo que hacen los ciberadversarios antes de que el adversario logre el acceso. Detalla las tácticas, técnicas y procedimientos (TTP) que utilizan los adversarios para seleccionar un objetivo, obtener información y lanzar una campaña.
  • 2017: MITRE ATT&CK para la matriz móvil: La Matriz Móvil de MITRE está diseñada para cubrir técnicas que implican el acceso a dispositivos y efectos basados en la red que pueden ser utilizados por un adversario sin acceso a dispositivos. Desde entonces, se ha actualizado varias veces para reflejar la evolución de las TTP utilizadas para detectar a los ciberadversarios que intentan comprometer los dispositivos móviles iOS y Android.
  • 2019: MITRE ATT&CK Matrix para la Matriz de la Nube; Con la Matriz de la Nube de MITRE, los equipos de seguridad obtuvieron acceso para proporcionar una comprensión organizada y exhaustiva de las diversas TTP que los actores de amenazas emplean para atacar los entornos de nube. La matriz contiene información sobre Azure Active Directory, Office 365, Google Workspace, SaaS e IaaS.
  • 2019: Subtécnicas ATT&CK de MITRE: La versión Beta de MITRE ATT&CK con subtécnicas se puso a disposición del público. Las subtécnicas proporcionan un nivel de detalle más granular, permitiendo una comprensión más matizada de cómo operan los adversarios al desglosar las técnicas en variantes o métodos específicos.
  • 2019: Evaluaciones ATT&CK de MITRE Engenuity: Las evaluaciones ATT&CK de MITRE Engenuity proporcionaron procesos estructurados y un marco para evaluar la eficacia de los productos y soluciones de seguridad cibernética a la hora de detectar y mitigar las tácticas y técnicas de los adversarios en el mundo real. Mediante las evaluaciones ATT&CK, los proveedores pudieron demostrar las capacidades de sus productos de seguridad frente a escenarios de amenazas específicos.
  • 2021: MITRE añade macOS y más tipos de datos: En respuesta a las aportaciones de la comunidad, MITRE ha añadido soporte para la información sobre amenazas que afectan a macOS y a los contenedores de Apple. También permitía más fuentes de datos y relaciones.

El marco ATT&CK de MITRE sigue evolucionando para hacer frente a la naturaleza cambiante de las ciberamenazas. Se introducen actualizaciones periódicas, nuevas matrices y características adicionales para mejorar la relevancia y utilidad del marco para la comunidad de la ciberseguridad.

 

MITRE ATT&CK y la seguridad en la nube

La ampliación del marco ATT&CK de MITRE para incluir la seguridad en la nube es una adaptación crucial al cambiante panorama de la ciberseguridad. Esta evolución demuestra la capacidad de MITRE ATT&CK para mantenerse relevante y eficaz frente a las tecnologías y amenazas emergentes.

El papel de MITRE ATT&CK en la seguridad de la nube

MITRE ATT&CK ha incorporado matrices específicas para la nube, que describen las tácticas y técnicas que los atacantes utilizan contra los servicios en la nube. Esta adición es vital para ayudar a las organizaciones a identificar y defenderse de las amenazas exclusivas de las infraestructuras en la nube, como la explotación de las API, los errores de configuración de los servicios en la nube y los ataques entre inquilinos.

La adaptación a la nube del marco permite a los expertos en ciberseguridad adaptar sus mecanismos de defensa a las complejidades de los entornos de nube, proporcionando un enfoque de seguridad más sólido y específico.

 

Retos y futuro de MITRE ATT&CK

A medida que evoluciona el panorama digital, también lo hacen los retos a los que se enfrentan los marcos como MITRE ATT&CK. Estos retos son fundamentales para configurar el desarrollo y la eficacia continuos del marco.

Retos actuales

Seguir el ritmo de las tácticas sofisticadas y en rápida evolución de los actores de amenazas sigue siendo un reto importante. El marco debe actualizarse continuamente para reflejar las nuevas técnicas y contramedidas.

Otro reto consiste en mantener su aplicabilidad global, garantizando que siga siendo relevante en diversos sectores y entornos informáticos. La creciente complejidad de los entornos híbridos, que combinan infraestructuras locales, en la nube y móviles, complica aún más esta tarea.

 

Evolución de las FAQ de MITRE ATT&CK

La Matriz ATT&CK de MITRE se diseñó inicialmente para entornos empresariales, proporcionando un método sistemático y bien ordenado para comprender las estrategias y métodos utilizados por los ciberadversarios cuando atacan los sistemas empresariales, con el fin de ayudar a optimizar los controles de seguridad. Esta matriz funciona como una amplia base de conocimientos de inteligencia de amenazas, facilitando la identificación de las cibertácticas del adversario.
Los tres componentes del marco ATT&CK de MITRE son las tácticas, las técnicas y los procedimientos (es decir, las técnicas en la práctica). Cada matriz ATT&CK de MITRE incluye secciones que detallan estos tres elementos para cada tipo de matriz.
MITRE ATT&CK se actualiza periódicamente para reflejar la evolución del panorama de las amenazas e incorporar nuevas observaciones y puntos de vista. Aunque la frecuencia exacta de las actualizaciones puede variar, las nuevas versiones del marco ATT&CK de MITRE suelen publicarse dos veces al año. Estas actualizaciones suelen incluir nuevas técnicas, grupos, campañas y software para entornos como los sistemas empresariales, móviles y de control industrial (ICS). Para mantenerse al día, MITRE incorpora nuevas técnicas, tácticas y procedimientos (TTP) y actualizaciones de subtécnicas a medida que se identifican.
Contenido relacionado
¿Qué son las técnicas ATT&CK de MITRE?
El marco ATT&CK de MITRE consiste en una taxonomía detallada de tácticas y técnicas específicas empleadas por los actores de amenazas para llevar a cabo ciberataques.
Página Cortex XDR MITRE ATT&CK
Profundice en las evaluaciones ATT&CK de MITRE de Cortex XDR.
Cuadro de mando de evaluaciones ATT&CK de MITRE Engenuity
Nuestro panel interactivo permite a los usuarios explorar los resultados de las evaluaciones pasadas y actuales.
La guía esencial de MITRE ATT&CK Ronda 5
Nuestra guía ofrece una visión comparativa del rendimiento de los proveedores en varias medidas, con orientación sobre cómo explorar más a fondo los resultados.

Obtenga las últimas noticias, invitaciones a eventos y alertas de amenazas