Tanto si está jugando una partida amistosa de ajedrez como si está planeando un ataque de flanqueo para un ejército moderno o protegiendo su empresa contra agentes de amenazas maliciosos, una cosa es segura: ser capaz de anticipar el siguiente movimiento de su adversario es ventajoso. Un maestro de ajedrez, por ejemplo, memoriza jugadas famosas para mejorar la estrategia y la toma de decisiones, reconocer patrones y predecir las tácticas de sus oponentes. Estos conocimientos, extraídos de jugadas históricas y estrategias de otros maestros, aumentan su capacidad para planificar, adaptarse y contraatacar con eficacia, asegurándose así una ventaja competitiva.

Comprender a su ciberadversario

La buena noticia para los equipos de TI y ciberseguridad es que no es necesario memorizar las tácticas de los hackers y ciberdelincuentes más prolíficos de la actualidad. Existe un método más eficaz para comprender sus esquemas mentales y estrategias de ataque, denominado marco MITRE ATT&CK. MITRE emplea una metodología basada en amenazas y centrada en el comportamiento para entender los ataques a la red. En cierto modo, se puede considerar como la contrapartida de la inteligencia de fuentes abiertas (OSINT), que funciona según el principio de que cuanto más se conoce al objetivo, mayores son las posibilidades de éxito. Puesto que los actores de amenazas dedican tiempo a entenderle, es lógico que usted les corresponda aprendiendo sobre ellos.

Este marco constituye un valioso recurso, ya que ofrece un modelo exhaustivo de los comportamientos de los ciberadversarios al clasificar sus acciones en tácticas (el “por qué” u objetivo) y técnicas (el “cómo” o método). Esto permite a las organizaciones adaptar con precisión sus defensas mediante la identificación de las tácticas y técnicas potenciales de los adversarios, facilitando así la simulación de las acciones de los adversarios para probar y mejorar rigurosamente las defensas contra las estrategias de ataque comunes.

Llenar los vacíos

El marco MITRE constituye una referencia muy detallada para ayudar a las organizaciones a combatir las amenazas más comunes. Tomemos el caso del ransomware, ya que hoy en día está en el punto de mira tanto de los responsables de TI como de los directivos de las empresas. Aunque la mayoría comprende el resultado de un ataque de este tipo, es posible que no entienda lo susceptible que es su empresa al ransomware. MITRE ATT&CK le ofrece la oportunidad de ver cómo podría ejecutarse un ataque real de ransomware contra un entorno como el suyo.

Este marco no está vinculado a ninguna tecnología o programa informático concreto. Se trata más bien de una matriz estructurada destinada a simplificar la comprensión de las defensas de ciberseguridad. Permite a las personas aprender sobre el ransomware y otras formas de ataque sin necesidad de tener conocimientos a nivel de experto en ciberseguridad. La matriz está organizada por tácticas (columnas que representan las etapas de un ataque) y técnicas (filas que detallan cómo puede ejecutarse cada etapa). Las principales tácticas de un ataque de ransomware podrían ser las siguientes:

• Acceso inicial (cómo los atacantes consiguen entrar en su red)
• Ejecución (cómo se ejecuta el ransomware en un sistema)
• Persistencia (asegurar que el malware permanece en el sistema después de un reinicio)
  
  
• Escalada de privilegios (obtención de permisos de nivel superior)

• Evasión de las defensas (evitar la detección)
• Impacto (en el caso del ransomware, el impacto es el cifrado)

Por ejemplo, bajo “Acceso inicial” se pueden encontrar técnicas como el phishing, que es un método popular para conseguir la entrada utilizando correos electrónicos engañosos. Cada una de estas técnicas puede desglosarse en subtécnicas que ofrecen una visión más detallada de un método de ejecución específico. La matriz se enriquece aún más mediante la incorporación de estrategias de detección y mitigación, así como ideas sobre cómo los adversarios podrían tratar de eludir estas medidas.

Ir más allá de la defensa

Un refrán referente al fútbol americano dice: “Un buen ataque es la mejor defensa”. En el caso de este deporte, cuanto más tiempo esté la ofensiva propia en el campo, menos tiempo tendrá el equipo contrario para poner en práctica sus planes ofensivos. Este principio se alinea con la naturaleza defensiva pero proactiva del marco MITRE ATT&CK. Este marco prepara a las organizaciones para adoptar una postura ofensiva frente a posibles amenazas al permitir la simulación de ataques que imitan las tácticas de los adversarios en el mundo real. Los equipos rojos y los especialistas en pruebas de penetración utilizan este marco para evaluar y reforzar las medidas de seguridad de una organización.

Otros beneficios de MITRE ATT&CK

Aunque las alertas siguen siendo importantes en la detección de las amenazas, el enfoque proactivo de MITRE ATT&CK reduce la dependencia excesiva de los registros y las alertas, así como la fatiga creada por las tormentas de alertas que estos sistemas pueden generar en los equipos de TI y seguridad. Además, el marco MITRE ATT&CK desempeña un papel crucial en la formación de la próxima generación de profesionales de la ciberseguridad, respondiendo así a la demanda mundial de expertos cualificados en este campo.

Más eficaz en las manos adecuadas

El Marco MITRE ATT&CK ofrece una excelente documentación sobre las tácticas actuales y las tácticas emergentes. Actualmente documenta más de 240 tipos diferentes de ataques. Sin embargo, para liberar todo su potencial, es esencial hacer operativo el marco, transformándolo de una herramienta de investigación y preparación, auna parte integral de la estrategia de seguridad de su organización bajo la dirección de expertos capacitados en su aplicación.

Al igual que MITRE, CYREBRO trabaja en la automatización del proceso de elaboración de relatos de ataques para llegar al “qué pasó” en cada investigación. Esta capacidad está basada en numerosos años de experiencia en detección y respuesta, así como en los conocimientos derivados de una amplia cartera de clientes. Nuestra experiencia nos ha permitido integrar tácticas, técnicas y procedimientos (TTP) en las reglas de detección propias de CYREBRO, garantizando una amplia cobertura de seguridad para nuestros clientes. Sin embargo, a pesar de nuestro sólido historial de experiencia, seguimos utilizando recursos como el marco MITRE ATT&CK para mantenernos al día de las últimas estrategias ofensivas.

Conclusión

El surgimiento de ciberdelincuentes que atacan a las empresas tiene su origen en la oportunidad, lo que ha impulsado el desarrollo de recursos como MITRE ATT&CK para contrarrestar estas amenazas oportunistas para la continuidad de su negocio y su bienestar económico. Ya no puede permitirse estar a la defensiva. Es crucial predecir cómo planean los adversarios burlar sus defensas y prepararse para contrarrestar sus movimientos. El marco ATT&CK se ha convertido en una herramienta fundamental para la ciberseguridad, aunque su complejidad puede suponer todo un desafío para los principiantes. En última instancia, como ocurre con todas las formas de conocimiento, su eficacia es mayor cuando la manejan personas que saben cómo sacarle el máximo partido.