beebright - stock.adobe.com

¿Cómo ha evolucionado y crecido el marco Mitre ATT&CK?

La adopción del marco Mitre ATT&CK, cuya versión 8.0 se lanzó esta semana, ha crecido rápidamente en los últimos años, aunque aún quedan desafíos para los usuarios empresariales.

Si bien el marco Mitre ATT&CK comenzó como una hoja de cálculo interna de Excel, se ha convertido en una base de conocimiento global de actividad, técnicas y modelos de amenazas que se ha vuelto indispensable para muchas organizaciones.

El lanzamiento público del marco en 2015 generó poca fanfarria, pero hoy es muy popular entre las organizaciones empresariales, los gobiernos y los proveedores de seguridad. El marco Mitre ATT&CK no solo proporciona una base de conocimiento común de la actividad del adversario en la naturaleza, sino que también ayuda a las organizaciones a priorizar las amenazas, evaluar los métodos de seguridad y examinar los productos y servicios.

El marco ATT&CK también es comúnmente utilizado por agencias gubernamentales como la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) en alertas y avisos sobre la actividad de amenazas. Recientemente se usó en una alerta de ciberseguridad conjunta del FBI y CISA con respecto a un actor de amenaza persistente avanzada (APT) patrocinado por el estado ruso que estaba comprometiendo objetivos del gobierno de EE.UU.

"Consulte el marco de ATT&CK para empresas para conocer todas las tácticas y técnicas de los actores de amenazas a las que se hace referencia", decía la alerta.

ATT&CK ha evolucionado significativamente en los últimos cinco años. Mitre lanzó la versión 8.0 del marco el martes 27 de este mes; en particular, el modelo de amenazas ATT&CK for Enterprise agregará nuevas tácticas adversas para actividades como el reconocimiento.

El ingeniero principal de ciberseguridad de Mitre ATT&CK, Adam Pennington, dijo que ATT&CK es similar a una enciclopedia que describe diversas actividades que realizan los adversarios mientras se abren camino a través de una intrusión.

"Consiste en información sobre más de 160 de estos comportamientos en nuestro marco principal, por lo que es algo que la gente está usando estos días para poder describir esas actividades con un lenguaje consistente y poder tener diferentes opciones que puedan aprovechar para responder a dichas actividades", dijo.

En los últimos años, Pennington dijo que Mitre ha experimentado una explosión de uso a medida que se ha adoptado más ampliamente en la comunidad de seguridad.

"Se ha visto un gran crecimiento orgánico a través de la recomendación boca a boca, ya que la gente lo ha aceptado y nos ha hablado sobre varias necesidades. Hemos pasado de lo que originalmente eran 40 a 50 comportamientos, hasta ahora más de 160", dijo. "Estamos cubriendo áreas que antes no cubríamos, como los dispositivos móviles y los sistemas de control industrial, así como mucha más información para que las personas puedan ayudarse a sí mismas y cómo detener comportamientos específicos. Estamos tomando informes públicos basados en código abierto y gratuito, averiguando qué comportamientos de ATT&CK hay en ellos y publicándolos nosotros mismos".

Durante una sesión en la conferencia virtual Forrester Security & Risk Global 2020 el mes pasado, el analista senior de Forrester Research, Brian Kime, dijo que fue a fines de 2017, principios de 2018 cuando ATT&CK comenzó a tomar el relevo como el más popular de los marcos de intrusión.

"Es popular porque nos ayuda a construir arquitecturas de seguridad resistentes. Nos proporciona un método para modelar amenazas y esto nos permitirá construir detecciones y recopilar la telemetría correcta en nuestros entornos desde el perímetro hasta los puntos finales", dijo en la sesión. "ATT&CK por sí solo no es una inteligencia de amenazas, pero debería ser un componente de un perfil de amenaza".

Sekhar Sarukkai, miembro de McAfee y vicepresidente de su unidad de negocios en la nube, dijo que el uso cada vez mayor del marco durante un corto período de tiempo también se atribuye a la confianza y la reciente distribución de esa confianza desde las redes internas a la nube.

"La seguridad tradicional asumía que todo estaba casi controlado, pero la nueva realidad es que la confianza se ha abierto por completo gracias a la nube. Hoy en día, no hay ninguna empresa que tenga todo bajo su control", dijo Sarukkai. "En segundo lugar, durante los últimos meses con el COVID, el trabajo desde casa requirió una moda distribuida que encajaba naturalmente con el modelo de confianza distribuida y requirió que los equipos de seguridad buscaran otras formas de defender su postura de seguridad".

Además, dijo Kime en su sesión, que el marco proporciona una forma de agrupar la actividad de las amenazas y generar patrones. "En lugar de presentarle a un analista de de un centro de operaciones de seguridad (SOC) eventos individuales, podemos presentarles un patrón de eventos que les ayude a comprender mejor".

ATT&CK-ando la nube

La popularidad de los marcos, junto con la rápida adopción de la nube, inspiró un informe de los investigadores estudiantes graduados, Jasdeep Basra y Tanu Kaushik, titulado "MITRE ATT&CK como marco para la investigación de amenazas en la nube". En el informe, Basra y Kaushik entrevistaron y encuestaron a profesionales de la seguridad sobre cómo abordar los desafíos de seguridad en la nube, como identificar y mitigar amenazas en entornos híbridos.

El informe conjunto, elaborado por McAfee y el Center for Long-Term Cybersecurity (CLTC) de la Universidad de California, Berkeley, encontró que el 87% de los encuestados están de acuerdo en que la adopción de la matriz ATT&CK for Cloud mejorará la seguridad de la nube en sus organizaciones. Sin embargo, también encontró que solo el 49% de los encuestados se sentía muy confiado en la capacidad de sus productos de seguridad para detectar tácticas y técnicas adversas en cada una de las matrices ATT&CK.

Sarukkai dijo que incorporar la dimensión de la nube en el marco de ATT&CK es crucial porque muchas amenazas cruzarán los "silos" de las redes internas, los dispositivos terminales y los servicios de nube externos.

Si bien el marco se centró originalmente más en las amenazas de terminales, Sarukkai dijo que un vector de ataque cada vez más común en la actualidad es un actor de amenazas que compromete una cuenta administrativa en la nube.

"Eso suele suceder a través del malware tradicional y a través del punto final y luego, una vez que se han comprometido, el administrador se convierte en la plataforma de lanzamiento para atacar la nube. Esa es una dirección en la que los ataques van del dispositivo a la nube", dijo. "Otro vector de ataque común que vimos fue el de las campañas relacionadas con el COVID. Hubo un aumento en las amenazas externas. En ese caso, es un ejemplo de cómo un mal actor puede comprometer el entorno de nube y luego expandirse al dispositivo final (endpoint)".

Sarukkai dijo que cada vez más los equipos de SOC ven eso y dicen que no pueden simplemente mirar los silos para sentirse seguros en sus posturas de seguridad. El informe encontró que el 45% de los encuestados globales identifican la falta de interoperabilidad con sus productos de seguridad como el mayor desafío con el marco ATT&CK y el 43% cita el desafío de mapear datos de eventos con tácticas y técnicas.

Además de la interoperabilidad, el informe determinó que un gran porcentaje de empresas no correlacionan eventos de la nube, redes y puntos finales para investigar amenazas; sólo el 39% de las empresas lo hace.

"Los datos indican que ese es el desafío al que se enfrentan los clientes: el 83% de los encuestados dijo que el marco de ATT&CK era muy completo, pero están buscando manualmente mapear algunas de estas técnicas en su marco", dijo Pennington. "Y la otra cara es que están viendo que se está volviendo cada vez más difícil de tratar debido a la naturaleza de estos ataques, que son entre silos. Si miras los datos, menos del 20% de estos clientes han adoptado completamente ATT&CK desde una perspectiva operativa, por lo que no pueden automatizarse debido a la falta de este soporte".

Pennington dijo que los equipos de SOC quieren que los datos y la visibilidad que brindan varios productos de seguridad, desde terminales y dispositivos móviles hasta redes y nube, se normalicen en el marco de ATT&CK y se presenten en algún tipo de tablero y se incorporen a otros productos como SIEM.

Según el informe de CLTC, el 79% dijo que el marco los haría más cómodos con la adopción de la nube. "Eso se traduce en una mejor seguridad, es más probable que las empresas se pasen a la nube y que los negocios sean más eficaces", dijo Sarukkai.

Desafíos ATT&CK

La matriz de nube es solo una de una colección de matrices, dijo Kime.

"MITRE ATT&CK no es solo un marco; es una colección de matrices basadas en el tipo de entorno que está defendiendo. La matriz a la que la mayoría de la gente se refiere es a la matriz empresarial, pero puede filtrarla en función del sistema operativo y la plataforma en la nube", dijo Kime en la sesión.

La mayor parte de lo que se incluye en las matrices ATT&CK son sugerencias de la comunidad. "Comenzó como algo completamente nuestro, que estábamos compartiendo, pero la mayoría de las cosas que están sucediendo hoy se deben a que las personas contribuyeron", dijo Pennington.

A pesar de su popularidad creciente, como encontraron los datos del estudio conjunto, los usuarios continúan teniendo dificultades para aprender a usar el marco.

Hay dos desafíos fundamentales, dijo Sarukkai.

"Muchas herramientas no tenían la capacidad para soportarlo. Las empresas que no tienen estos productos terminan haciéndolo manualmente, lo que significa que no pueden adoptar completamente el marco Mitre ATT&CK porque están inundadas de instancias y porque no tienen las herramientas que necesitan para ser efectivos. Esa es la razón principal", dijo.

El segundo problema, dijo Sarukkai, es que las organizaciones quieren utilizar ATT&CK para automatizar la corrección y ayudar a aliviar la carga de trabajo de los analistas de SOC. Pero tal uso requiere un nivel de madurez con ATT&CK, y el informe encontró que solo el 19% de los encuestados ha alcanzado ese nivel de madurez.

El mayor desafío, según Pennington, es que la gente se sienta abrumada.

"Reconocemos eso. ATT&CK for Enterprise, la base de conocimiento principal que la gente está utilizando, son 156 comportamientos de alto nivel en este momento. Y, por lo tanto, si una organización está entrando e inmediatamente, de una pasada, descifra cuál es su postura contra 156 comportamientos, se sentirán abrumados, y lo hemos visto ", dijo. "Intentamos liberar una serie de recursos durante el año pasado: cómo comenzar, cómo priorizar y planeamos lanzar más capacitación gratuita en el futuro".

Si bien es útil para priorizar amenazas, hay algunas cosas que ATT&CK no es, dijo Kime.

"No es algo que haces. No es un proceso. No es realmente algo que operas e instalas y no es una tecnología o un producto. Tampoco es algo a lo que aspiras hacer todo porque muchas de las técnicas Mitre son realmente legítimas, cosas que hacen los usuarios y administradores de sistemas, por lo que tener el objetivo de alertar sobre cada tipo de técnica es en realidad una estrategia bastante pobre", dijo durante su sesión.

Un marco en constante evolución

Según Sarukkai, la subcontratación de operaciones de seguridad mediante el uso del marco Mitre ATT&CK es donde la evolución puede conducir a horas extraordinarias. El informe de CLTC encontró que el 69% de los encuestados dijo que se sentiría más cómodo subcontratando operaciones de seguridad a través del marco.

"Hoy en día, el mayor desafío con la seguridad es conseguir personal capacitado que sepa de qué se trata la ciberseguridad y el hecho de que, en esencia, estén más dispuestos a considerar el SOC subcontratado porque ahora sienten que tienen una jerga más común para la que pueden trabajar con terceros", dijo.

Uno de los próximos pasos en la evolución del marco, anunciado el martes con ATT&CK 8.0, es la inclusión de técnicas que utilizan los adversarios para atacar dispositivos de red como enrutadores y conmutadores. Otra adición en la nueva versión es el "desarrollo de recursos", que profundiza en cómo los actores de amenazas recolectan las piezas necesarias que necesitan para lograr una intrusión. Esas piezas pueden incluir activos comprometidos como servidores o máquinas virtuales, así como certificados SSL y herramientas administrativas legítimas.

Pennington dijo que el esfuerzo de los últimos cinco años para hacer que los productos de seguridad sean más compatibles ha dado sus frutos. Al principio, las organizaciones utilizaban principalmente el marco para sensores de detección de intrusos. Pero eso ha cambiado drásticamente, gracias a los esfuerzos impulsados ​​por el cliente para utilizar aún más el marco en sus posturas generales de seguridad.

"En cuanto a la adopción de ATT&CK y las personas que lo necesitan, creo que ha mejorado bastante".

Investigue más sobre Auditoría y cumplimiento