CONTACTANOS
Contactanos por Whatsapp
expertos@ransecurity.com

Novedades

¿Has escuchado de MITRE ATT&CK? ATT&CK por sus siglas en inglés, significa: "tácticas, técnicas del adversario y conocimiento común". En una fuente de información colaborativa entre los profesionales de seguridad. Permite identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. Es una fuente a tener en cuenta para entender cómo operan los atacantes.

Blog Details Image
ATT&CK por sus siglas en inglés, significa tácticas, técnicas del adversario y conocimiento común. El marco, creado por la organización MITRE, ahora está en su sexto año, y su misión es capturar las técnicas, tácticas y procedimientos (TTP) de las amenazas persistentes avanzadas (APT) que se dirigen principalmente a dispositivos Windows, y más recientemente, Mac y Linux también.  

ATT&CK Enterprise (a diferencia de Pre-ATT&CK o MOBILE) se enfoca en entender el modus operandi de los adversarios posterior al compromiso dentro de los entornos empresariales.


Como lectura preliminar preliminar, recomendamos encarecidamente el propio documento de 2017 de MITRE sobre el tema, Finding Threats with ATT&CK-based Analytics. https://www.mitre.org/publications/technical-papers/finding-cyber-threats-with-attck-based-analytics


El marco es una base de conocimiento accesible a nivel mundial de tácticas y técnicas de los adversarios que pueden describirse como un inventario de indicadores de compromiso (IOC por sus siglas en inglés) estáticos basados en la reputación que cambian con el tiempo, expiran y solo tienen un valor en un punto en el tiempo.


Por lo tanto, MITER ATT&CK ha documentado una nueva taxonomía que permite a los profesionales de la seguridad identificar mejor la huella de TTP más amplia (y más profunda) que un adversario dado deja atrás en el curso de una campaña de penetración. En otras palabras, los principales problemas que aborda el marco ATT&CK se centran en cómo interactúan los adversarios con un sistema. En muchos sentidos, se puede argumentar que el marco ha ayudado a alejar la conversación de las firmas estáticas que dominaron la era de la detección 2012-2013, y hacia un tipo diferente de detección: el comportamiento de un adversario conocido. Antes de este framework, los profesionales de seguridad no tenían medios colectivos para catalogar lo obvio, ni lo matizado, en lo que respecta a las diferencias de los TTP de los atacantes. Se podría argumentar que la capacidad de tener esta conversación es la contribución más significativa del marco de ATT&CK hasta la fecha.


¿Cuáles son los usos principales de ATT&CK?
  1.  Modelado de amenazas e identificación de brechas de controles
  2.  Como lenguaje común / referencia para una conversación significativa
  3.  Como marco de referencia durante la respuesta a incidentes
  4.  Como marco de referencia durante los ejercicios de APT-Replay Red Teaming
  5.  Como un puente entre equipos ofensivos y defensivos durante los ejercicios de equipo morado


Los proveedores de ciberseguridad también se benefician al probar sus soluciones contra el marco y medir la efectividad de sus herramientas contra estrategias de ataque conocidas y comportamientos de los adversarios.


Las pruebas MITRE ATT&CK son transparentes y los resultados de la evaluación están disponibles tanto para los fabricantes como para los usuarios finales, sin comentarios ni prejuicios. Las evaluaciones MITRE ATT&CK no son un sistema competitivo utilizado para seleccionar a los ganadores en la industria de la ciberseguridad. No enfrenta soluciones entre sí, califica cuantitativamente los productos no califica el desempeño de un proveedor. Los resultados de las pruebas se registran en una matriz de éxito que ofrece a los lectores una idea de cómo le fue a cada proveedor frente a cada técnica o táctica de amenaza.


En resumen, es fundamental recordar que MITER ATT&CK no está construido en base a inteligencia, sino en conocimiento y visibilidad. No se esfuerza por examinar cosas como las dependencias de la cadena de ataque, el contexto o las ponderaciones en términos de qué priorizar, dadas todas las demás variables. Tampoco se presta para probar lo desconocido; aquellas técnicas para las cuales puede no haber firmas conocidas. En un contexto de amenazas hiper evolutivas que aprovechan un número cada vez mayor de técnicas que, fuera de contexto, pueden ser benignas o maliciosas, como los ataques que utilizan las herramientas legitimas existentes en la infraestructura de la víctima (living off the land) y la exfiltración de datos, existen numerosos ejemplos tangibles de esa limitación con los cuales toda organización deberá estar muy familiarizada.


Categorias

Noticias relacionadas

Los correos electrónicos de phishing que más confunden a los empleados
Informes

Los correos electrónicos de phishing que más confunden a los empleados

La simulación de phishing es una de las formas más sencillas de rastrear la resiliencia cibernética de los empleados y evaluar la eficiencia de su capacitación en seguridad cibernética. Sin embargo, hay aspectos importantes que deben tenerse en cuenta al realizar esta evaluación para que sea realmente impactante. Dado que los métodos utilizados por los ciberdelincuentes cambian constantemente, la simulación debe reflejar las tendencias actualizadas de ingeniería social, junto con los escenarios comunes de ciberdelincuencia. Es crucial que los ataques simulados se lleven a cabo regularmente y se complementen con la capacitación adecuada, de modo que los usuarios desarrollen una fuerte habilidad de vigilancia que les permita evitar caer en ataques dirigidos o el llamado spear-phishing.

Leer +
Cuáles son los desafíos en seguridad de redes IoT y cómo prevenirlos
Informes

Cuáles son los desafíos en seguridad de redes IoT y cómo prevenirlos

En un mercado cada vez más competitivo, un servicio ágil, eficiente y personalizado resulta cada vez más demandado por parte de los consumidores. En sintonía, Internet y todas sus herramientas crecen cada día, y dentro en esa línea, el IoT no resulta la excepción.

Leer +
INFORME ESPECIAL S.O.C. RAN Security. Tendencias y desafíos 2Sem 2020
Informes

INFORME ESPECIAL S.O.C. RAN Security. Tendencias y desafíos 2Sem 2020

En este informe elaborado desde el SOC Regional de RAN Security, analizamos algunas tendencias de ciberseguridad de la región incluyendo: Argentina, Chile, Perú, Uruguay y Paraguay para el segundo semestre 2020.

Leer +
4 claves para proteger las criptomonedas de los ciberdelincuentes
Informes

4 claves para proteger las criptomonedas de los ciberdelincuentes

El auge de las criptomonedas implica ciertos riesgos que no tienen que ser solo económicos o financieros. De hecho, el ransomware basado en criptomonedas ha estado involucrado en miles de incidentes de ciberseguridad a nivel mundial en los últimos meses, y siguen en aumento.

Leer +
Tendencias 2022: los ciberdelincuentes también se fortalecen con las innovaciones
Informes

Tendencias 2022: los ciberdelincuentes también se fortalecen con las innovaciones

Los ciberdelincuentes han mejorado sus métodos para trabajar de manera más inteligente y rápido a fin de causar mayores impactos; el líder tecnológico CyberArk explica sus evoluciones.

Leer +
Ransomware: cómo es la nueva guerra global de secuestro de datos que aterroriza a países y empresas de todo el mundo.
Informes

Ransomware: cómo es la nueva guerra global de secuestro de datos que aterroriza a países y empresas de todo el mundo.

Se registra un ataque cada 8 minutos a empresas multinacionales. El auge de las criptomonedas hace más fácil el cobro de rescate por parte de los hackers. La mayoría de los asaltos provienen de Rusia.

Leer +