Desafíos y beneficios de usar el marco de Mitre ATT&CK

El marco de ciberseguridad de Mitre ATT&CK, una base de conocimiento de las tácticas y técnicas utilizadas por los atacantes, continúa ganando terreno a medida que los proveedores, empresas y proveedores de servicios de seguridad adoptan y adaptan el marco a sus defensas.

Si bien el uso del marco de Mitre ATT&CK ofrece beneficios significativos sobre los marcos de seguridad cibernética más tradicionales, requiere una comprensión de qué es y qué recursos se requieren para que funcione.

En esta entrevista de nuestra publicación hermana SearchSecurity, Jonathan Couch, vicepresidente sénior de estrategia en ThreatQuotient, proveedor de una plataforma de inteligencia de amenazas con sede en Reston, Virginia, responde preguntas sobre el uso del marco de Mitre ATT&CK, incluida la diferencia con otros marcos de seguridad cibernética y cómo puede pagar dividendos a las organizaciones que lo adoptan.

¿Qué es el marco de Mitre ATT&CK?

Jonathan Couch: El marco de Mitre ATT&CK es otro tipo de marco de ciberseguridad. A lo largo de los años, hemos tenido bastantes de ellos; el marco Cyber ​​Kill Chain de Lockheed Martin es probablemente el más conocido.

Existe otro marco conocido como el Modelo Diamante que usan algunas organizaciones, principalmente el gobierno de los Estados Unidos, pero también empresas comerciales.

Jonathan Couch

El marco de Mitre ATT&CK es ligeramente diferente en el sentido de que está mucho más centrado en el adversario, y también es mucho más profundo. Proporciona mucha más información.

La cadena Kill Chain de Lockheed Martin, por ejemplo, proporciona las diferentes fases de un ataque como lo vería como un defensor: ‘Puedo decir que solo están escaneando mi red como una fase de reconocimiento (aún no han logrado entrar, o tal vez hayan entrado y se hayan movido por mi red, y ahora están filtrando datos’. Me ayuda, como defensor, a poder ver mi detección y mis capacidades de respuesta porque ahora puedo identificar qué tan lejos están en mi red, qué tan lejos ha llegado su ataque.

Una de las debilidades que he visto con Lockheed Martin Kill Chain es que no es muy completa ni exhaustiva, en el sentido de cómo se ven los ataques desde la perspectiva del atacante, desde la perspectiva del adversario, y eso es realmente lo que resuelve el modelo Mitre ATT&CK.

En realidad, me sorprendió mucho cuando vi por primera vez el modelo Mitre ATT&CK porque es una explicación muy detallada de cómo posiblemente se puede ejecutar un ataque. ¿Cómo obtengo acceso inicial? ¿Cómo escondo el lado persistente de las cosas? Tiene todos estos elementos diferentes para permitir que las organizaciones puedan rastrear y decir: '¿Cuáles son todas las cosas diferentes que los adversarios podrían hacer en mi red para poder asegurarme de que tengo la detección, el monitoreo y las respuestas disponibles para esas acciones?

¿Qué otros marcos de seguridad cibernética deberían considerar las personas y de qué otra manera el marco de Mitre ATT&CK difiere de ellos?

Couch: NIST ha publicado su Marco de Ciberseguridad. Es otra forma de ver el riesgo y la seguridad dentro de su red. No se alinea exactamente con los objetivos de Lockheed Martin Kill Chain o Diamond Model, en lo que respecta al seguimiento de ataques y su mapeo contra las defensas de su red.

Una de las cosas que hace el marco de Mitre ATT&CK que realmente me gusta es que aborda mucho más la fase de respuesta. Mitre ATT&CK está vinculado con lo que ellos llaman patrones de ataque. Asocian los patrones de ataque contra los cursos de acción, que son como las mejores prácticas: si ve un adversario en su red, aquí hay cursos de acción potenciales que puede usar para evitar que entren en su red utilizando ese método de ataque, o para remediar la situación. Eso va mucho más allá de los otros marcos de seguridad cibernética que se han implementado.

También ayudará a largo plazo a abordar algo de la escasez de habilidades de ciberseguridad. Si realmente podemos poner en funcionamiento el marco de Mitre ATT&CK y automatizarlo dentro de nuestro entorno de seguridad de red, puede permitir que analistas jóvenes sin mucha experiencia vean un problema y obtengan fácilmente consejos de la comunidad. El marco puede ofrecer los siguientes pasos: qué se puede hacer para implementar tecnologías de detección y monitoreo o prevención, o cómo remediar esa situación. Ese es uno de los aspectos más sólidos del marco de Mitre ATT&CK: la capacidad de mapearlo para que aquellos con menos experiencia puedan ser analistas de seguridad efectivos.

Es un marco muy complejo en este momento, por lo que llegar a ese punto va a requerir un poco de trabajo porque hay mucha información disponible en el marco de Mitre ATT&CK. Pero, de manera lenta pero segura, la comunidad está comenzando a descubrir cómo aplicar eso contra sus operaciones de seguridad para proporcionar esa experiencia y esa base de conocimiento para las personas, así como para brindar una visión mejor y más holística de los adversarios que vienen a nosotros y lo que debemos hacer para luchar efectivamente contra ellos.

¿Cómo pueden las empresas comenzar a utilizar el marco de Mitre ATT&CK y de qué deberían estar conscientes para asegurarse de que se integre y coexista con cualquier otro marco que esté utilizando?

Couch: Mitre ATT&CK mapea todas estas fases de ataque contra formas específicas de hacerlo. Las organizaciones deben ver lo que están tratando de proteger, cómo podrían ser atacadas y qué adversarios los atacan.

Tomemos como ejemplo el ransomware. Si su empresa es extremadamente susceptible al ransomware, eso es algo contra lo que realmente quiere protegerse. Puede buscar ransomware y cómo se implementa en el marco de Mitre ATT&CK y cómo se mueve a través de la red, y luego enfocar sus defensas y monitores para prevenirlo o detectarlo de inmediato si entra. Puede brindar a las empresas una hoja de ruta en cuanto a riesgos de brechas. ¿De dónde necesitan protegerse? ¿Dónde está la falta de información sobre su red?

Si el spear-phishing es una amenaza realmente grande para su red y no tiene monitoreo de correo electrónico o filtrado de contenido en ese sentido, esa es una enorme brecha de riesgo para usted. Desde la perspectiva de la hoja de ruta y la planificación estratégica, ese grupo de seguridad puede decir que necesitan tener esto en su lugar. A medida que se profundiza en estas diferentes áreas, el marco de Mitre ATT&CK le proporcionará orientación sobre las mejores prácticas de la industria para abordar los diferentes vectores de ataque de los adversarios que ingresan a su red.

¿Cuáles son los mayores beneficios de usar el marco Mitre ATT&CK?

Couch: Los dos mayores beneficios que veo son, el número uno, entender realmente al adversario y cómo funciona el adversario, cuáles son los pasos por los que pasarán para entrar en su red y realizar cualquiera que sea su objetivo final.

No solo tenemos que entender la defensa. Tenemos que entender cómo funciona la ofensa. ¿Cómo está funcionando el adversario? ¿Cómo están pensando? ¿Qué necesitan hacer para lograr sus objetivos? [Saber] eso les ayudará a defender mejor su red.

El segundo gran beneficio es la habilitación de analistas junior para ayudarnos a superar algunos de los problemas de capacitación en habilidades cibernéticas que actualmente enfrentamos como industria. Si es posible aprovechar efectivamente el marco de Mitre ATT&CK, entonces le ayudará al analista de seguridad junior que puede no tener tanta experiencia. Les da una base de conocimientos, una base de datos de investigación para mirar y decir, ‘OK. Esto es lo que estoy viendo. Esto es lo que la industria me está diciendo que debo buscar y cómo defenderme de ello’.

¿Cuáles son los mayores desafíos para las empresas que buscan usar Mitre ATT&CK?

Couch: En este momento, es muy grande y muy complejo. La buena noticia es que las permutaciones de los datos en el marco de Mitre ATT&CK son extremadamente completas. La mala noticia es que es extremadamente minuciosa. Para alguien en una organización que acaba de entrar ahora mismo, puede ser desalentador. Hay una gran cantidad de información para procesar, y muchas organizaciones no han automatizado una gran cantidad de esa información en lo que respecta a la asignación a la información que tienen dentro de su sistema y a la infraestructura de seguridad.

Hay algo así como 155 patrones de ataque diferentes en este momento, y eso está creciendo. Ser capaz de identificarlos y tener la información fácilmente disponible para que un analista junior pueda aprovecharla, o para que pueda asignarla a su infraestructura de seguridad, es un desafío. No es un proceso nativo en este momento. Hemos estado trabajando con él durante bastante tiempo y, de hecho, hemos logrado mapearlo con una gran cantidad de datos con los que estamos trabajando dentro de las organizaciones de seguridad, pero todavía hay mucho que debemos hacer para lograr que la información esté disponible y sea lo más posible operacional y procesable.