El marco MITRE ATT & CK
El marco MITRE ATT & CK está diseñado para crear conciencia y comprensión de cómo funcionan los ciberataques. Para lograr esto, organiza la información en una jerarquía, incluyendo:
- Tácticas: MITRE ATT & CK Las tácticas son objetivos de alto nivel que un atacante podría desear lograr durante un ataque cibernético. Esto incluye etapas de un ataque como obtener acceso inicial a un sistema, comprometer cuentas de usuario y moverse lateralmente a través de la red.
- Técnicas: Para cada una de las tácticas de alto nivel, MITRE ATT & CK define múltiples técnicas para lograr el objetivo. Por ejemplo, un atacante puede obtener acceso a las credenciales de usuario a través de un ataque de adivinación de fuerza bruta, robándolas del sistema operativo y otros métodos.
- Subtécnicas: Algunas técnicas MITRE ATT & CK se pueden lograr de varias otras maneras (llamadas Subtécnicas). Por ejemplo, un ataque de contraseña de fuerza bruta podría lograrse descraqueando hashes de contraseñas, relleno de credenciales u otros medios.
Las tácticas, técnicas y subtécnicas de MITRE ATT & CK detallan una manera específica en la que un atacante puede lograr un objetivo. Para cada una de estas técnicas, MITRE ATT & CK incluye una descripción del ataque, así como lo siguiente:
- Procedimientos: Los procedimientos describen ejemplos específicos del uso de una técnica. Esto incluye malware, herramientas de piratería y actores de amenazas que se sabe que utilizan esa técnica en particular.
- Detección: Para una técnica determinada, MITRE ATT & CK recomienda métodos para detectar la técnica. Esta sección es invaluable para diseñar defensas de ciberseguridad porque describe los tipos de información que deben recopilarse para detectar un ataque en particular.
- Mitigación: La sección de mitigación describe los pasos que una organización puede tomar para prevenir o reducir el impacto de una técnica en particular. Por ejemplo, el uso de autenticación de múltiples factores (MFA) es una mitigación común para técnicas diseñadas para lograr acceso a cuentas de usuario.
Aprovechando MITRE ATT & CK para la defensa cibernética
El marco MITRE ATT & CK está diseñado como una herramienta, no únicamente como un repositorio de información. Los equipos del Centro de Operaciones de Seguridad (SOC) pueden poner en funcionamiento la matriz MITRE ATT & CK de varias maneras, incluyendo:
- Diseño de defensas: El marco MITRE ATT & Ck describe métodos para detectar y mitigar diferentes técnicas de ciberataque. Esta información se puede utilizar para garantizar que una organización cuente con las defensas adecuadas y esté recopilando la información necesaria para detectar una amenaza específica. La inteligencia sobre amenazas se puede utilizar para priorizar las técnicas en las que se centra una organización.
- Detección de incidentes: El marco MITRE ATT & CK describe las formas en que se puede detectar una amenaza en particular. Esta información debe usarse para desarrollar reglas de detección en una solución de gestión de eventos e información de seguridad (SIEM), Firewall de última generación (NGFW) y otras soluciones de seguridad.
- Investigación de incidentes: el marco MITRE ATT&CK describe cómo funciona un ataque en particular y el malware que utiliza ciertas técnicas. Esta información es invaluable para la investigación de incidentes porque permite a un investigador identificar la Técnica MITRE ATT & CK en uso y aprovechar los datos adicionales proporcionados por el marco.
- Corrección de infecciones: el marco MITRE ATT&CK describe cómo se lleva a cabo una técnica particular y las capacidades de diferentes muestras de malware y actores de amenazas. Esto puede ayudar con los esfuerzos de remediación, ya que describe las acciones que un atacante ha tomado y que deben deshacer para eliminar la infección.
- Informes: Al estandarizar la terminología, el marco MITRE ATT & CK simplifica la presentación de informes. Las herramientas y los analistas pueden generar informes que hagan referencia a técnicas particulares en el marco, lo que proporciona detalles adicionales y pasos de mitigación si es necesario.
- Búsqueda de amenazas: Las descripciones y la información de detección proporcionadas en MITRE ATT & CK pueden ser invaluables para la caza de amenazas. Al realizar una evaluación MITRE ATT & CK y trabajar con cada una de las técnicas descritas en el marco, los cazadores de amenazas pueden determinar si han sido atacados por atacantes utilizando una técnica en particular y si las soluciones de seguridad existentes son capaces o no de detectar y prevenir estos ataques.
Check Point y MITRE ATT&CK
The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.
Esto proporciona a un analista de SOC una serie de ventajas. Al analizar un ataque en particular, el uso de MITRE ATT & CK facilita la comprensión de las causas raíz, el flujo del ataque y la intención del atacante en cada etapa. Al comprender lo que el atacante está tratando de lograr y cómo, un equipo SOC puede entender fácilmente el alcance de un ataque, cualquier remediación necesaria y cómo mejorar las defensas para el futuro.
By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.