Los atacantes llevan a cabo los ciberataques por fases. Esto se conoce como la secuencia Kill Chain del ataque, y se compone de diferentes etapas: comienza con el reconocimiento, cuando el atacante intenta reunir información sobre sus objetivos, y termina con la exfiltración de datos. Con el marco ATT&CK, los administradores de seguridad pueden conocer las diferentes técnicas utilizadas por los atacantes en cada una de estas etapas, desde el acceso inicial hasta el impacto final. De este modo, los administradores pueden dar prioridad a las amenazas que se producen antes en la secuencia de ataque, deteniendo un posible ciberataque.

¿Qué es ATT&CK?

ATT&CK, abreviatura de Adversarial Tactics, Techniques, and Common Knowledge (tácticas, técnicas y conocimiento común del adversario), es una base de conocimientos de tácticas y técnicas curadas que los atacantes utilizan para comprometer la ciberseguridad de una organización. El marco, en constante evolución, proporciona información basada en ejemplos del mundo real y ayuda a los centros de operaciones de seguridad a identificar las brechas de seguridad en sus defensas y a crear una estrategia de seguridad más resistente.

El objetivo final de un atacante puede ser la exfiltración de datos, la extorsión de un rescate o incluso el sabotaje del entorno informático de una organización. Pero antes de eso, realizan varios pasos intermedios llamados tácticas para lograr su objetivo final. Según ATT&CK, las siguientes son algunas de las tácticas que utilizan los atacantes para explotar la red de una organización.

  • Acceso inicial (TA0001): Cuando un atacante intenta entrar en la red de la organización. Esto se puede lograr explotando las vulnerabilidades de la red.
  • Ejecución (TA0002): Cuando intenta ejecutar un código malicioso.
  • Persistencia (TA0003): Cuando intenta mantener el acceso a los sistemas de la víctima.
  • Escalamiento de privilegios (TA0004): Cuando intenta elevar su rango de seguridad.
  • Credential Access (TA0006): When they try to obtain user and account credentials within the network.
  • Acceso a credenciales (TA0006): Cuando intenta obtener las credenciales del usuario y la cuenta en la red.
  • Recopilación (TA0009): Cuando intenta reunir datos que sirven para cumplir su objetivo.
  • Exfiltración (TA0010): Cuando intenta robar información sensible.
Aprende más

Mientras que las tácticas implican el objetivo técnico del atacante en una fase determinada, las técnicas describen las formas en que el atacante lleva a cabo una táctica concreta. Por ejemplo, la táctica de Movimiento lateral (TA0008), en la que el ataque se mueve dentro de la red de la organización para recopilar información, se puede llevar a cabo utilizando varias técnicas, como la Explotación de servicios remotos (T1210); Servicios remotos (T1021) como RDP, SMB y SSH; Replicación a través de medios extraíbles (T1091); y Uso de material de autenticación alternativo (T1550) como Pasar el hash y Pasar el ticket.

El marco enumera alrededor de 205 técnicas que los atacantes utilizan desde las primeras etapas de reconocimiento hasta la etapa final de impacto. Para cada técnica, ATT&CK enumera las plataformas aplicables (por ejemplo, Windows o Linux), los permisos necesarios para implementar la técnica y las fuentes de datos (logs) para detectar la técnica.

Cómo se alinea Log360 con las tácticas y técnicas de ATT&CK para detectar las amenazas a la seguridad

Log360, al ser una solución de SIEM, aprovecha ATT&CK para analizar los pasos del atacante, proporcionar alertas en tiempo real sobre cualquier indicio de amenaza a la seguridad y completar el proceso de mitigación de amenazas con la gestión de incidentes.

Equipados con el conocimiento de lo que hace el atacante en cada etapa y cómo lleva a cabo sus actividades, los administradores de seguridad pueden buscar amenazas de forma proactiva, buscar técnicas que se hayan implementado y preparar su defensa. Log360 proporciona análisis de seguridad basados en las distintas tácticas y técnicas de ATT&CK. Por ejemplo, un atacante puede obtener acceso inicial a una red (táctica) a través del phishing (técnica). Esta amenaza crítica para la seguridad se puede mitigar mediante la inteligencia de amenazas, que inspecciona las URL dentro de los correos electrónicos de phishing, y mediante la detección de archivos maliciosos descargados por los usuarios.

mitre-attack-framework-1

Veamos un caso de uso para entender cómo Log360 utiliza ATT&CK para la detección de amenazas.

Caso de uso: Detectar la exfiltración de datos con Log360

Pensemos en un caso en el que el atacante lleva a cabo la táctica de Exfiltración (TA0010) utilizando la Exfiltración sobre protocolo alternativo (T1048). Esto ocurre cuando el atacante obtiene la información sensible y necesita sacarla de la red. Aquí, los datos se pueden enviar a través de diferentes protocolos como FTP, SMTP y HTTP/S que no están siendo utilizados como el principal canal de comando y control.

Para detectar esta amenaza a la seguridad, ATT&CK sugiere que los administradores analicen los datos de la red en busca de flujos de datos poco comunes. Por ejemplo, esto podría ocurrir cuando un cliente envía muchos más datos de los que recibe de un servidor. Log360 monitorea constantemente las aplicaciones de la red y analiza los datos de la red en busca de flujos de datos inusuales. Si alguna de las aplicaciones envía más tráfico del que recibe, se considerará sospechosa y se activará una alerta para advertir al administrador de seguridad de una posible amenaza a la seguridad.

mitre-attack-framework-2

También se aconseja a las organizaciones que configuren los firewalls de la red para permitir que sólo los puertos y el tráfico necesarios entren y salgan de la red.

La consola de gestión de incidentes

Cada etapa de la secuencia cibernética Kill Chain es un momento crítico en un posible ataque. Log360 detecta las actividades sospechosas al instante y proporciona análisis de seguridad críticos para cada una de ellas. Esto ayuda a los administradores de seguridad a investigar más a fondo una amenaza concreta.

Las organizaciones descubrirán que la clave para mantener intacta su ciberseguridad es la urgencia de su respuesta a una amenaza de seguridad. Log360 se basa en sus eficaces técnicas de detección de incidentes para proporcionar alertas en tiempo real, de modo que los administradores de seguridad puedan priorizar inmediatamente una amenaza potencial.

La alerta activada se puede marcar como un incidente, que se puede asignar a un técnico de seguridad que pueda responder rápidamente a él. La alerta activada se puede marcar como un incidente, que se puede asignar a un técnico de seguridad que pueda responder rápidamente a él.

mitre-attack-framework-3

Los usuarios también pueden vincular los informes a un incidente.

mitre-attack-framework-4

El marco de gestión de incidentes proporcionado por Log360 permite a los administradores de seguridad ir siempre un paso adelante de las amenazas a la seguridad.