MITRE Att&ck - El curso de un ciberataque

Un desarrollo continuo del Marco MITRE Att&ck

Los ciberdelincuentes adoptan diferentes enfoques en función del objetivo del ataque. Por ejemplo, utilizan tácticas, técnicas y procedimientos (TTP) diferentes para comprometer los sistemas empresariales que cuando atacan los sistemas de control industrial o los dispositivos móviles. MITRE ofrece diferentes matrices para adaptarse a los distintos entornos. MITRE inició el desarrollo del marco ATT&CKen 2013 para ayudar a los equipos de ingeniería a implementar una ciberseguridad sólida mediante el estudio de los métodos de ataque. El Marco MITRE ATT&CK permite compartir los comportamientos de los ataques a lo largo de su ciclo de vida y proporciona una taxonomía común para el análisis y la investigación de las ciberamenazas.

En este artículo vamos a MITRE ATT&CK en detalle y discutir los vectores de ataque de MITRE, la cadena de muerte cibernética y el papel de Privileged Access Management .

¿Qué es el marco ATT&CK de MITRE?

El marco ATT&CK de MITRE es un centro evolutivo, una base de conocimientos curada y un modelo de comportamiento de los atacantes que refleja las diferentes fases del ciclo de vida de los ciberataques en las plataformas objetivo. ATT&CK son las siglas de Adversarial Tactics, Techniques, and Common Knowledge. La abstracción de tácticas y técnicas en el marco proporciona una taxonomía común de las acciones de los adversarios entendidas por los respectivos lados ofensivos, atacantes, y defensivos, atacados, de la ciberseguridad. Además, el marco proporciona un nivel adecuado de categorización para los ciberataques y formas específicas de defenderse de ellos.

El Marco MITRE ATT&CK es una autoridad reconocida para entender las tácticas, comportamientos y técnicas que los atacantes utilizan contra las organizaciones. El marco es una forma estándar de documentar los ciberataques maliciosos más comunes, las técnicas utilizadas y los procedimientos, respaldados por la experiencia del mundo real. La información sobre un ciberataque puede ser utilizada por los equipos de respuesta a incidentes y los departamentos de TI para priorizar las áreas que deben abordarse en primer lugar, de forma proactiva o después de que se haya producido un ciberataque, y para identificar las deficiencias en los procesos, controles y herramientas de seguridad.

El marco de MITRE puede utilizarse como base para detectar vulnerabilidades y crear medidas de protección contra amenazas específicas de los ciberdelincuentes.

  • Táctica
    La táctica de un atacante es un objetivo técnico específico que el delincuente pretende alcanzar, como la penetración defensiva, el movimiento lateral o la exfiltración de datos. El marco MITRE ATT&CK consta de 11 tácticas que describen el comportamiento de los atacantes. En ATT&CK, la importancia de la cobertura de seguridad se pondera por igual para cada táctica.
  • Técnicas
    Toda táctica implica una variedad de técnicas. Se trata básicamente de la forma en que un delincuente consigue un objetivo y de las medidas que toma para infiltrarse. Cada técnica consiste en una descripción del método, las plataformas utilizadas y los sistemas con los que se relaciona, los grupos de adversarios que lo utilizan y las formas de mitigar la actividad.
  • Procedimiento
    Los procedimientos del marco MITRE son pasos específicos que un atacante realiza para ejecutar e implementar una técnica.

Tácticas de MITRE ATT&CK

La matriz de ataque clasifica las diferentes tácticas que utilizan los delincuentes en las distintas etapas. A continuación se enumeran algunas de las tácticas que utiliza un atacante a lo largo del ciclo de ataque.

  • Reconocimiento.
    Este es el primer paso en el que el atacante reúne información para facilitar sus ataques. Algunos ejemplos comunes de un ataque son el escaneo activo, el phishing o la recopilación selectiva de información sobre la víctima potencial.
  • Desarrollo de recursos - La acumulación.
    El delincuente ha acumulado las habilidades y los recursos necesarios para llevar a cabo un ciberataque. Las técnicas incluyen el compromiso de cuentas, la adquisición de infraestructura y el desarrollo de capacidades.
  • Acceso inicial - El primer paso.
    El primer intento de un delincuente de acceder a una red informática. Las técnicas incluyen el spear phishing, el drive-by compromise y la explotación de contraseñas débiles y servicios remotos externos.
  • Ejecución - La ejecución.
    El atacante ejecuta código malicioso en la red objetivo. Esto puede hacerse comprometiendo los entornos de scripting incorporados y los intérpretes para ejecutar código para el robo de datos y la exploración de la red.
  • Persistencia - La puesta en marcha.
    El delincuente intenta ganar terreno y evitar los intentos de defensa. Utilizan técnicas como la manipulación de cuentas y el cambio de claves de autenticación SSH.
  • Escalada de privilegios - La toma de posesión.
    El hacker ha obtenido acceso a privilegios elevados en la red. Las técnicas incluyen la monitorización de puertos, el almacenamiento en caché de sudo y eludir el control de acceso de los usuarios.
  • Evasión de la defensa - La autodefensa.
    El delincuente evade la detección desactivando los sistemas de seguridad y los scripts. Las técnicas utilizadas incluyen la ejecución de nivel superior, la suplantación de identidad y el abuso de los mecanismos de control de elevación.
  • Acceso a las credenciales - La nueva identidad.
    El atacante roba las credenciales de la cuenta. Las técnicas incluyen el registro de teclas, el descifrado de contraseñas y la fuerza bruta.
  • Descubrimiento.
    El delincuente recorre la red y comprende los puntos de entrada y el entorno de red correspondiente.
  • Movimiento lateral - El espionaje.
    El delincuente se mueve lateralmente por el entorno de la red. Las técnicas incluyen la explotación de servicios remotos, el spear phishing interno y el secuestro de SSH.
  • Recogida - La recogida de datos.
    El atacante recoge la información y los recursos necesarios para la exfiltración de datos.
  • Exfiltración - La salida de datos.
    El atacante exfiltra datos de la red comprometida. Las técnicas incluyen la exfiltración automática y la exfiltración a través de servidores web.
  • Impacto - Los efectos.
    El ciclo de vida termina con la manipulación o destrucción de los sistemas, redes, datos y cuentas comprometidos. Las técnicas incluyen la eliminación del acceso a las cuentas, el cifrado y la manipulación de datos, los ataques de denegación de servicio y el secuestro de recursos.

¿Cómo ayuda un Privileged Access Management (solución PAM) a la protección según los vectores MITRE ATT&CK?

Los atacantes a menudo entran y exploran una red con acceso sin privilegios, pero necesitan privilegios más altos para perseguir sus objetivos. La elevación de estos privilegios consiste en técnicas que los delincuentes utilizan para obtener mayores privilegios en una red o sistema. Los métodos más comunes incluyen la explotación de las debilidades del sistema, las vulnerabilidades de seguridad y los errores de configuración. Un Privileged Access Management (PAM) ayuda a las empresas a proteger sus aplicaciones e infraestructuras y a mantener la confidencialidad de las infraestructuras críticas y los datos sensibles.

Saber quién hizo qué, cuándo y dónde en todo momento.

Las organizaciones implementan una solución PAM para protegerse contra las fugas de datos, las intrusiones en el sistema, la infiltración y las amenazas de robo de credenciales. El principio de mínimo privilegio se considera una de las mejores prácticas de ciberseguridad para protegerse de los ciberataques, incluidos los registros de movimientos laterales, la denegación de privilegios elevados y las tomas de posesión de administradores.

VISULOX - PAM del principal fabricante alemán

VISULOX by amitego permite a los equipos de seguridad de TI asegurar el acceso a las cuentas privilegiadas de manera oportuna mediante la aplicación de la autenticación multifactor y la configuración de políticas de acceso basadas en la ubicación, la hora, el rol del usuario y otros factores definibles. Esto garantiza que el acceso sólo se conceda a los usuarios autorizados, y sólo cuando sea inmediatamente necesario. VISULOX permite la colaboración de usuarios internos y externos sin comprometer la seguridad, con auditorías que garantizan un verdadero principio de doble control.

Los equipos de seguridad también pueden supervisar fácilmente y de forma remota todos los accesos de nivel administrativo a las aplicaciones críticas de TI y los componentes de OT a través de un tablero central. Las funciones de grabación de sesiones de la solución permiten a los equipos de seguridad grabar en vídeo la actividad de los usuarios durante las sesiones privilegiadas y registrar quién ha autorizado cada sesión privilegiada. Estas grabaciones pueden utilizarse para crear pistas de auditoría sólidas y proporcionar pruebas forenses de los comportamientos de riesgo. Todos los datos de las auditorías se copian automáticamente para proporcionar una capa adicional de seguridad y garantizar el cumplimiento de las estrictas normas de protección de datos.

amitego es un proveedor global de ciberseguridad especializado en seguridad de identidad y acceso, control remoto de usuarios y tecnologías de transferencia segura de datos. VISULOX es la solución de gestión de accesos privilegiados de amitego. VISULOX está diseñado para ayudar a las organizaciones de todo el mundo a proteger y supervisar todos los accesos a los sistemas empresariales críticos. VISULOX mitiga el riesgo de que las cuentas privilegiadas se vean comprometidas y protege las credenciales privilegiadas del robo por parte de actores de amenazas externas e internas.

Tenemos más temas sobre los que nos gusta escribir.

Consentimiento para el uso de cookies con un banner de cookies real