Logotipo de Trellix
¿Por qué Trellix?
Plataforma
Servicios
Partners
Recursos
Acerca de
Primeros pasos
¿Ha sufrido un ataque?
Soporte
Póngase en contacto con nosotros
Menú principal
¿POR QUÉ TRELLIX?
¿Por qué Trellix? Ventajas de Trellix frente a la competencia La ventaja de Trellix Platform Certificaciones y conformidad
INTELIGENCIA DE AMENAZAS
Advanced Research Center Trellix Insights Informes de amenazas Últimos artículos de blog
Menú principal
FUNCIONES DE LA PLATAFORMA
Acerca de nuestra plataforma Trellix Wise Motor
CATEGORÍAS DE PRODUCTOS
Seguridad para endpoints Seguridad de los datos Seguridad para redes Inteligencia de amenazas Seguridad del correo electrónico Seguridad para la nube Operaciones de seguridad Ver todos los productos
SOLUCIONES
Detección y respuesta al ransomware Estrategia de confianza cero (Zero-Trust) Inteligencia artificial y operaciones de seguridad CISO Sector público Seguridad para elecciones
Menú principal
SERVICIOS PROFESIONALES
Trellix Thrive Servicios MDR ( Managed Detection and Response) Servicios para soluciones Servicios de consultoría en ciberseguridad
EDUCACIÓN Y FORMACIÓN
Servicios educativos Cursos de formación
Menú principal
NUESTRA RED
Presentación para partners Security Innovation Alliance OEM & Embedded Alliances Servicios prestados por los partners
PORTAL DE PARTNERS
Inicio de sesión en el portal de partners de Trellix Conviértase en partner
PARTNERS ESTRATÉGICOS
Amazon Servicios web (AWS) Google Cloud Telefónica Tech
Menú principal
CENTRO DE RECURSOS
Biblioteca de recursos Historias de clientes Concienciación sobre la seguridad Temas
APRENDER
Seminarios web Semanalmente Serie de charlas técnicas Visitas guiadas por productos
INICIO DE SESIÓN
Inicio de sesión en Trellix Trellix Hive Developer Portal Marketplace
Menú principal
EMPRESA
Acerca de Trellix Equipo directivo Reconocimientos el sector Experiencias de los clientes Oportunidades de empleo
MEDIOS DE COMUNICACIÓN
Notas de prensa Últimas Noticias Blogs Acceder a la sala de prensa
CONECTAR
Eventos Contáctenos

¿Qué es el marco MITRE ATT&CK?

Definition Matrix Cloud Matrix Cyber Kill Chain How to Use Resources Request a Demo

MITRE ATT&CK® son las siglas de MITRE Tácticas, Técnicas y Conocimientos Comunes Adversariales. (ATT&CK). El marco MITRE ATT&CK es una base de conocimientos y un modelo de comportamiento de los ciberadversarios, que refleja las distintas fases del ciclo de vida de un ataque y las plataformas que se sabe que son su objetivo. La abstracción de tácticas y técnicas en el modelo proporciona una taxonomía común de las acciones individuales de los adversarios entendida tanto por el lado ofensivo como por el defensivo de la ciberseguridad. También proporciona un nivel apropiado de categorización de las acciones de los adversarios y formas específicas de defenderse contra ellas.

El modelo de comportamiento presentado por ATT&CK contiene los siguientes componentes básicos:

  • Tácticas que denotan los objetivos tácticos a corto plazo del adversario durante un ataque (las columnas);
  • Técnicas que describen los medios por los que los adversarios logran sus objetivos tácticos (las celdas individuales); y
  • Uso documentado de las técnicas por parte del adversario y otros metadatos (vinculados a las técnicas). [1]

MITRE ATT&CK se creó en 2013 como resultado del experimento Fort Meade Experiment (FMX) (FMX) de MITRE, en el que los investigadores emularon tanto el comportamiento del adversario como el del defensor en un esfuerzo por mejorar la detección de amenazas tras el compromiso mediante la detección de telemetría y el análisis del comportamiento. La pregunta clave para los investigadores era "¿Con qué eficacia estamos detectando el comportamiento documentado del adversario?". Para responder a esa pregunta, los investigadores desarrollaron ATT&CK, que se utilizó como herramienta para categorizar el comportamiento de los adversarios.

MITRE ATT&CK tiene ahora tres iteraciones:

ATT&CK for Enterprise
(para empresas)
ATT&CK for Mobile
(para dispositivos móviles)
ATT&CK for ICS
(para sistemas de control industrial)

Se centra en el comportamiento adverso en entornos Windows, Mac, Linux y en la nube.

Se centra en el comportamiento de los adversarios en los sistemas operativos iOS y Android.

Se centra en describir las acciones que un adversario puede llevar a cabo mientras opera dentro de una red de sistemas de control industrial.

MITRE ATT&CK se utiliza en todo el mundo en múltiples disciplinas, como la detección de intrusiones, la caza de amenazas, la ingeniería de seguridad, la inteligencia de amenazas, las simulaciones de ataques (red teaming) y la gestión de riesgos. [2]

¿Qué contiene la matriz MITRE ATT&CK?

La matriz MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los adversarios para lograr un objetivo específico. Esos objetivos se clasifican como tácticas en la matriz ATT&CK. Los objetivos se presentan linealmente desde el punto de reconocimiento hasta el objetivo final de exfiltración o "impacto". En la versión más amplia de ATT&CK for Enterprise, que incluye Windows, macOS, Linux, PRE, Azure AD, Microsoft 365, Google Workspace, SaaS, IaaS, redes y contenedores, se clasifican las siguientes tácticas del adversario:

  1. Reconocimiento: recopilación de información para planificar futuras operaciones del adversario, es decir, información sobre la organización objetivo.
  2. Desarrollo de recursos: establecer recursos para apoyar las operaciones, es decir, crear una infraestructura de mando y control.
  3. Acceso inicial: intento de entrar en la red, por ejemplo, phishing selectivo.
  4. Ejecución: intentar ejecutar código malicioso, por ejemplo, ejecutar una herramienta de acceso remoto.
  5. Persistencia: intentan mantener su posición, por ejemplo, cambiando las configuraciones.
  6. Elevación de privilegios: intentar obtener permisos de nivel superior, es decir, aprovechar una vulnerabilidad para elevar el acceso.
  7. Evasión de defensas: tratando de evitar ser detectado, es decir, utilizar procesos de confianza para ocultar el malware.
  8. Acceso a credenciales: robo de nombres de cuentas y contraseñas, es decir, registro de pulsaciones.
  9. Descubrimiento: intentar descubrir el entorno, es decir, explorar lo que pueden controlar.
  10. Movimiento lateral: desplazarse por el entorno, es decir, utilizar credenciales legítimas para desplazarse por varios sistemas.
  11. Recopilación: reunir datos de interés para el objetivo del adversario, es decir, acceder a los datos almacenados en la nube.
  12. Mando y control: comunicación con sistemas comprometidos para controlarlos, por ejemplo, imitando el tráfico web normal para comunicarse con una red víctima.
  13. Filtración: robo de datos, es decir, transferencia de datos a una cuenta en la nube.
  14. Impacto: manipular, interrumpir o destruir sistemas y datos, por ejemplo, cifrar datos con ransomware.

Dentro de cada táctica de la matriz de MITRE ATT&CK hay técnicas del adversario, que describen la actividad real llevada a cabo por el adversario. Algunas técnicas tienen subtécnicas que explican cómo un adversario lleva a cabo una técnica específica con mayor detalle. La matriz de ATT&CK completa para empresas del navegador de MITRE ATT&CK se representa a continuación:

MITRE ATT&CK for Enterprise, 2021

¿Qué tiene de diferente la matriz MITRE ATT&CK for Cloud?

Dentro de la matriz MITRE ATT&CK for Enterprise encontrará una subsección, la matriz MITRE ATT&CK for Cloud, que contiene un subconjunto de las tácticas y técnicas de la matriz ATT&CK for Enterprise general. La matriz MITRE ATT&CK for Cloud es diferente del resto de la matriz Enterprise porque el comportamiento del adversario y las técnicas utilizadas en un ataque a la nube no siguen la misma guía táctica que los ataques a Windows, macOS, Linux u otros entornos empresariales.

Las técnicas MITRE ATT&CK en Windows, macOS, Linux y otros entornos relacionados suelen implicar malware y entrar en una red que es propiedad de la organización objetivo y está operada por ella.

Las técnicas MITRE ATT&CK en AWS, Azure, Microsoft 365 y otros entornos relacionados no suelen implicar malware, ya que el entorno objetivo es propiedad y está operado por un proveedor de servicios en la nube de terceros como Microsoft o Amazon. Sin la capacidad de entrar en el entorno de la víctima, el adversario suele aprovechar las funciones nativas del proveedor de servicios en la nube para entrar en la cuenta de la víctima objetivo, escalar privilegios, moverse lateralmente y filtrar datos. Un ejemplo del comportamiento de un adversario utilizando el marco ATT&CK for Cloud se ilustra en las siguientes técnicas de ejemplo:


Técnica
Comportamiento

Acceso inicial

Utiliza credenciales robadas para crear un nueva cuenta

Persistencia

El adversario lanza un ataque de phishing selectivo, consiguiendo credenciales a AWS

Elevación de privilegios

Utiliza una cuenta válida para cambiar los permisos de acceso

Evasión de defensas

Crea una nueva instancia de máquina virtual para eludir las reglas de firewall.

Acceso a credenciales

Roba tokens de acceso a una base de datos

Descubrimiento

Busca la base de datos de destino

Movimiento lateral

Utiliza un token de acceso a aplicaciones para acceder a la base de datos

Recopilación

Extrae información de la base de datos

Filtración

Filtra a la cuenta del adversario en AWS


A continuación puede verse la matriz ATT&CK for Cloud completa, que muestra su subconjunto de tácticas y técnicas de la matriz ATT&CK for Enterprise:

MITRE ATT&CK for Cloud, 2021


MITRE ATT&CK for Containers, 2021

MITRE ATT&CK frente Cyber Kill Chain

La Cyber Kill Chain® de Lockheed Martin es otro marco bien conocido para comprender el comportamiento del adversario en un ciberataque. El modelo Kill Chain contiene las siguientes etapas, presentadas en secuencia:

  1. Reconnaissance (Reconocimiento): recopila direcciones de correo electrónico, información sobre conferencias, etc.
  2. Weaponization (Creación de la carga útil maliciosa): acopla el exploit con la puerta trasera de la carga útil entregable.
  3. Delivery (Entrega): entrega el paquete malicioso a la víctima por correo electrónico, Internet, USB, etc.
  4. Exploitation (Explotación): aprovecha una vulnerabilidad para ejecutar código en el sistema de la víctima.
  5. Installation (Instalación): instala malware en el activo.
  6. Command & Control (C2) (Mando y control): incluye un canal de mando para la manipulación remota.
  7. Actions on Objectives (Acciones y objetivos): utilizando el acceso "Manos en el teclado", los intrusos logran sus objetivos originales.

Lockheed Martin ofrece más detalles sobre su marco Cyber Kill Chain en este gráfico. [3]

Hay dos diferencias principales entre MITRE ATT&CK y Cyber Kill Chain.

  1.  En primer lugar, el marco MITRE ATT&CK profundiza mucho más en cómo se lleva a cabo cada etapa a través de las técnicas y subtécnicas ATT&CK. MITRE ATT&CK se actualiza periódicamente con aportaciones del sector para mantenerse al día con las últimas técnicas, de modo que los defensores actualizan sus propias prácticas y modelos de ataque con regularidad.

  2. En segundo lugar, el marco Cyber Kill Chain no tiene en cuenta las diferentes tácticas y técnicas de un ataque nativo en la nube, como se ha comentado anteriormente. Asume que un adversario entregará una carga útil, como malware, en el entorno objetivo; un método que es mucho menos relevante en la nube.

cyber kill chain

¿Cómo se utiliza la matriz de MITRE ATT&CK?

La matriz de MITRE ATT&CK puede ayudar a una organización de varias maneras. En general, los siguientes son beneficios aplicables a la adopción de MITRE ATT&CK:

  1. Emulación de adversarios: evalúa la seguridad aplicando inteligencia sobre un adversario y cómo opera para emular una amenaza. ATT&CK puede utilizarse para crear escenarios de emulación de adversarios para probar y verificar las defensas.
  2. Red Teaming: actúa como un adversario para demostrar el impacto de una violación de seguridad. ATT&CK puede utilizarse para crear planes de equipos rojos y organizar operaciones.
  3. Desarrollo de análisis de comportamiento: relaciona la actividad sospechosa para supervisar la actividad del adversario. ATT&CK puede utilizarse para simplificar y organizar patrones de actividad sospechosa considerada maliciosa.
  4. Evaluación de lagunas defensivas: determina qué partes de la empresa carecen de defensas y/o visibilidad. ATT&CK puede utilizarse para evaluar las herramientas existentes, o probar nuevas herramientas antes de comprarlas, para determinar la cobertura de seguridad y priorizar la inversión.
  5. Evaluación de la madurez del SOC: de forma similar a la evaluación de carencias defensivas, ATT&CK puede utilizarse para determinar la eficacia de un centro de operaciones de seguridad (SOC) a la hora de detectar, analizar y responder a los incidentes.
  6. Enriquecimiento de la inteligencia sobre ciberamenazas: mejora la información sobre amenazas y actores de amenazas. ATT&CK permite a los defensores evaluar si son capaces de defenderse contra amenazas persistentes avanzadas (ATP) específicas y comportamientos comunes a múltiples actores de amenazas.

La implementación de MITRE ATT&CK suele implicar la asignación manual o la integración con herramientas de ciberseguridad. Las más habituales son: información y eventos de seguridad (SIEM), detección y respuesta para endpoints (EDR) y agente de seguridad de acceso a la nube (CASB).

El uso de MITRE ATT&CK con un sistema SIEM implica agregar datos de registro de endpoints, redes y servicios en la nube, identificar amenazas y asignarlas a MITRE ATT&CK. Los cambios en el nivel de seguridad se realizan entonces en las herramientas de seguridad que proporcionan sus datos de registro (por ejemplo, EDR o CASB).

El uso de MITRE ATT&CK con EDR implica la asignación de eventos observados por el agente del endpoint, lo que permite a los defensores determinar las fases de un evento de amenaza, evaluar el riesgo asociado y priorizar la respuesta.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness