[19/05/2022] El Marco de Tácticas, Técnicas y Conocimientos Comunes de los Adversarios (ATT&CK) de MITRE se ha convertido en un pilar del sector de la ciberseguridad. El marco representa el comportamiento relevante de los adversarios, y las organizaciones pueden aprovecharlo para reforzar sus defensas de ciberseguridad y mejorar su capacidad para detectar el comportamiento común de los adversarios. Detalla el comportamiento de los adversarios a lo largo del ciclo de vida del ataque.
El marco existe desde el 2013 y sigue mejorando. El marco y las matrices asociadas han evolucionado para abordar áreas tecnológicas emergentes que las organizaciones están adoptando cada vez más, como la infraestructura como servicio (IaaS), el software como servicio (SaaS) y los contenedores. La última versión, MITRE ATT@CK v11, incluye subtécnicas para móviles y la adición de una matriz de sistemas de control industrial (ICS). A continuación, se explican estas actualizaciones de la versión 11, junto con información que puede utilizar para cumplir con los requisitos recientes del gobierno.
Actualizaciones de ATT@CK para móviles
Lanzado originalmente en el 2016, ATT&CK for Mobile ayuda a las organizaciones a abordar la realidad de que cada vez se accede a más datos y sistemas críticos y se interactúa con ellos a través de dispositivos móviles. ATT&CK for Mobile aprovechó las orientaciones existentes del Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, el Departamento de Seguridad Nacional (DHS) de Estados Unidos y otros, pero ha madurado bastante desde entonces, incluyendo la adición de subtécnicas con la v11.
Cubren los teléfonos inteligentes y las tabletas que utilizan las plataformas Android e iOS debido a su dominio en el mercado. Los actores maliciosos tienen como objetivo estos dispositivos, ya que se utilizan más para interactuar con las aplicaciones y los datos de las organizaciones. Esto ha dado lugar a un porcentaje creciente de violaciones de datos que aprovechan los dispositivos móviles, especialmente en industrias y sectores en los que se utilizan para acceder a datos sensibles, como la sanidad.
Algo que hace que ATT&CK para móviles, y ATT&CK en general, sea tan útil son los innumerables casos de uso que pueden aprovechar las organizaciones. En el contexto móvil, algunos casos de uso incluyen la priorización de las defensas, la determinación de defensas eficaces y la ayuda a las organizaciones en la evaluación de productos móviles.
Con la adición de los campos de subtécnicas, no solo se pueden ver las técnicas asociadas a las fases del ciclo de vida del ataque, como el acceso inicial, la ejecución y la persistencia; sino que se puede profundizar en las subtécnicas asociadas a las técnicas identificadas inicialmente. Por ejemplo, en el compromiso inicial una técnica se centra en el compromiso de la cadena de suministro. Ahora se puede profundizar en subtécnicas como el compromiso de las dependencias de software y las herramientas de desarrollo, el hardware o la cadena de suministro de software. Cada subtécnica asociada tiene su propia identificación y detalles. Tomando la cadena de suministro de software como ejemplo, puede ver ejemplos, mitigaciones y detecciones, así como referencias si quiere profundizar en el tema.
MITRE publicó un gran artículo en el que se detallan las acciones que puede llevar a cabo para actualizar su uso de ATT&CK para móviles.
MITRE ATT@CK ICS
Los sistemas de control industrial y su postura de ciberseguridad y vulnerabilidades asociadas siguen recibiendo una atención significativa, y con razón, dados los servicios y funciones críticos que proporcionan. La Agencia de Seguridad e Infraestructura Cibernética de Estados Unidos (CISA), que es responsable de liderar los esfuerzos para reducir el riesgo de nuestra infraestructura cibernética y física, ha citado la necesidad de proteger los ICS entre sus esfuerzos más importantes para defender el ciberespacio. En el 2020 la CISA publicó el documento "Securing Industrial Control systems: Una iniciativa unificada", que exponía tanto los retos de la seguridad de los ICS, como el estado actual y futuro de la seguridad de los ICS. En el 2018, el Laboratorio Nacional de Idaho publicó un documento sobre la "Historia de los incidentes cibernéticos de los sistemas de control industrial" y los incidentes solo han continuado desde entonces con ejemplos como los oleoductos y las instalaciones de tratamiento de agua.
Al igual que Mobile y las otras matrices, la nueva matriz ATT&CK ICS de MITRE en la v11 proporciona una visión del adversario a lo largo del ciclo de vida del ataque. A diferencia del ejemplo de ATT@CK for Mobile, la matriz ICS no incluye todavía subtécnicas, pero podrían añadirse en el futuro.
Cada técnica incluye nuevos ejemplos, mitigaciones, detecciones y referencias. Una de las primeras técnicas enumeradas es el compromiso drive-by, que es cuando un usuario se ve comprometido a través de un usuario que visita un sitio web como parte de su sesión de navegación normal. ATT&CK no solo ofrece una explicación de esta técnica de ataque, sino que también la relaciona con ejemplos específicos de ICS, incluyendo información del DHS y del FBI sobre cómo los actores maliciosos rusos han utilizado la técnica para atacar a víctimas del sector energético.
Planes futuros de MITRE ATT@CK
El equipo de MITRE sigue innovando con la adición de subtécnicas para la matriz móvil y la incorporación de ICS. Otros ejemplos incluyen la cobertura de tecnologías emergentes que las empresas están adoptando como la nube, los contenedores y Kubernetes. El equipo también ha publicado su hoja de ruta informativa de MITRE ATT&CK para el 2022.
Una de las adiciones más notables para mantener un ojo en los planes de MITRE es lo que ellos llaman "Campañas", que se definen como una "agrupación de la actividad de intrusión llevada a cabo durante un período específico de tiempo con metas y objetivos comunes". Éstas pueden o no estar vinculadas a un actor de amenaza específico. La razón por la que esto es útil es que normalmente un grupo de actores de amenazas no se estanca en sus herramientas, técnicas y procedimientos (TTP). Al igual que las organizaciones, los actores de amenazas innovan sus métodos y a menudo superan a los defensores.
Con la adición de las campañas, MITRE ATT&CK puede ahora capturar campañas específicas que un actor de amenazas podría llevar a cabo, o que está actualmente o ha impactado en la industria. También permitirá que el marco describa las campañas que involucran a múltiples actores de amenazas, ya que estas organizaciones maliciosas continúan aumentando su colaboración en un mercado de cibercrimen rápidamente rentable y creciente.
Basado en el artículo de Chris Hughes (CSO) y editado por CIO Perú