MITRE ATT&CK significa MITRE Adversarial Tactics, Techniques and Common Knowledge (ATT&CK). MITRE ATT&CK Framework es una base de conocimientos y un modelo seleccionados que se utilizan para estudiar el comportamiento de los adversarios de amenazas o actores malintencionados. Tiene una explicación detallada de las diversas fases de un ataque y las plataformas o sistemas que podrían ser o son propensos a los ataques de los actores de amenazas. El marco fue creado en 2013 por MITRE Corporation. Dado que este marco o documentación se creó en base a observaciones del mundo real, continúa evolucionando con el panorama de amenazas y se ha vuelto bastante reconocido en la industria para comprender los modelos de atacantes, las metodologías y las técnicas de mitigación.
MITRE ATT&CK Framework tiene tres componentes principales:
- Tácticas: estas denotan los objetivos que un actor de amenazas o un actor malintencionado puede querer lograr para atacar un sistema o una red con éxito.
- Técnicas: describen las formas o los métodos que utiliza el actor de la amenaza para lograr los respectivos objetivos tácticos.
- El marco también contiene detalles documentados sobre el uso anterior de las técnicas por parte de los adversarios y algunos metadatos relacionados con ellos.
Este marco tiene diferentes iteraciones o ‘arrays’, siendo su iteración más famosa Enterprise Matrix. Enterprise Matrix habla sobre las tácticas y técnicas empleadas por los actores de amenazas contra empresas o plataformas como Windows, macOS, Linux, Office 365, etc. Las tácticas mencionadas en Enterprise Matrix son:
1. Reconocimiento: recopilación encubierta de información sobre un objetivo o objetivos que podrían ser útiles al realizar o planificar un ataque.
2. Desarrollo de recursos: Decidir o reunir recursos y herramientas para llevar a cabo un ataque.
3. Acceso inicial: establecer un punto de apoyo inicial en un sistema o red al obtener acceso a algunos nombres de usuario, contraseñas, etc.
4. Ejecución: Despliegue de los recursos y herramientas para llevar a cabo el ataque.
5. Persistencia: Mantener el control o la presencia en una red incluso si la parte contraria ha empleado técnicas de mitigación, pero sin ser detectado.
6. Escalada de privilegios: Obtención de controles de nivel mucho más alto, como el nivel de administrador o los controles de nivel raíz.
7. Evasión de defensa: Intentar traspasar los mecanismos de seguridad aplicados en la red para la protección, para evitar la detección mientras se comprometen los sistemas.
8. Acceso con credenciales: Obtener acceso a algunos nombres de usuario y contraseñas importantes.
9. Descubrimiento: tratar de descubrir el entorno de destino.
10. Movimiento lateral: significa adentrarse más en la red de destino para obtener información confidencial o cualquier tipo de información que pueda ser valiosa para la parte cuyo sistema o red está siendo comprometida.
11. Recopilación: recopilación de datos relevantes sobre el objetivo que pueden ayudar a lograr una meta.
12. Comando y control: una vez que el atacante ha obtenido todo tipo de acceso y los sistemas se han comprometido, utiliza esta táctica para finalmente establecer el control sobre la red o el sistema y utilizarlo en su beneficio.
13. Exfiltración: Robo de datos de los sistemas comprometidos.
14. Impacto: Manipulación, interrupción o destrucción de los sistemas y los datos que contienen.
En el mundo actual, los datos son muy importantes. A medida que aumenta la cantidad de datos valiosos, también aumenta la cantidad de adversarios que desean acceder a ellos. Este marco es una de esas herramientas para que las personas, las organizaciones y los gobiernos eviten que sus sistemas y redes se conviertan en objetivos de actores malintencionados en el ciberespacio.
Publicación traducida automáticamente
Artículo escrito por rishigoswami2021 y traducido por Barcelona Geeks. The original can be accessed here. Licence: CCBY-SA