En esta entrada veremos una breve introducción a lo que es nuestro framework MITRE, más adelante en próximas entradas, tendremos ejemplos practicos con los cuales vamos a entender el porque es importante implementar dicho marco, sin más que agregar, iniciamos.
¿Qué es el Marco MITRE?
El marco MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) es una base de conocimiento utilizada para la descripción de Tacticas, Técnicas y procedimientos que los adversarios emplean en ciberataques. Este marco es creado por la corporación de MITRE y es ampliamente utilizado en el área de ciberseguridad para ayudar a la detección, defensa y respuesta sobre ataques.
Tácticas: son los objetivos generales de los atacantes sobre su victima y las fases de un ataque, por ejemplo: Ejecución, Persistencia, Movimiento Lateral.
Técnicas: son maneras especificas en las que un atacante logra su objetivo. cada técnica tiene un método especial que se utiliza para comprometer un sistema o mantener un control.
Un ejemplo de técnica sería la Escalacion de Privilegios en Setuid and Setgid
Subtécnicas : las técnicas tienen múltiples formas especificas de llevarse a cabo. Las subtecnicas dan más detalle y escenarios de uso especifico.
Procedimiento: es la manera en la cual un atacante implementa una técnica en particular. dando detalles de como trabaja en realidad un adversario.
¿Para qué se utiliza MITRE?
Defensa proactiva: ayuda a los defensores a identificar las tácticas y técnicas que los atacantes pueden usar en un entorno.
Mejora la detección: para un analista de SOC es esencial mapear sus herramienta de detección, SIEM, IDS/IPS y otros controles establecidos para la detección de actividades especificas.
Evaluación y respuesta: se realiza una evaluación de las defensas, realizando ejercicios de red y blue team, midiendo la postura de seguridad de las organizaciones para poder detectar y responder a amenazas reales.
Ejemplos de uso
Los siguientes ejemplos son prácticamente escenarios que se pueden llevar a cabo en el día a día como analista de SOC, es posible que se presente algo mas complicado, pero estos solamente son la muestra de como se utilizaría el marco MITRE
Protección de Usuarios contra Phishing
Supongamos que tu empresa ha identificado un aumento de correos de phishing dirigidos a tus empleados. Utilizando MITRE ATT&CK, puedes:
- Mapear el ataque de phishing a la táctica de «Reconocimiento» y la técnica específica «Spear Phishing«.
- Determinar cómo los atacantes logran engañar a los usuarios para que hagan clic en enlaces o descarguen archivos.
- A partir de este análisis, puedes implementar capacitaciones específicas para los empleados o configurar filtros de seguridad para detectar palabras clave y patrones de correos de phishing.
Optimización de un Sistema de Detección de Intrusos (IDS)
Como Analista de SOC, quieres mejorar tu IDS para detectar ataques en tiempo real. Usando MITRE ATT&CK, puedes hacerlo:
- Revisar técnicas comunes que los atacantes usan para el «Movimiento Lateral«, como «Pass-the-Hash«.
- Configurar tu IDS para monitorear específicamente esta técnica y alertar si algún usuario intenta reutilizar credenciales o moverse entre sistemas de manera inusual.
- Esto permite que el equipo de seguridad detecte y detenga un ataque antes de que comprometa otros sistemas internos.
Conclusión
En conclusión, el marco MITRE ATT&CK es una herramienta fundamental en ciberseguridad que ofrece una taxonomía clara y detallada de las tácticas y técnicas de ataque utilizadas por los adversarios. Facilita a las organizaciones entender, detectar y mitigar amenazas, mejorando tanto la defensa como la respuesta a incidentes.
Rojo Security 