El Enfoque de MITRE ATT&CK

Por: Ian Heritage 

 

La base de conocimientos de MITRE ATT&CK® es una herramienta extremadamente valiosa que ayuda con el avance y la alineación de la industria de la ciberseguridad. Ha logrado estandarizar la interpretación de los enfoques de los atacantes y ofrecido un idioma para describir los comportamientos de los grupos maliciosos. 

 Las evaluaciones realizadas por MITRE Engenuity no generan puntuaciones, rankings o clasificaciones. En su lugar, se lo muestra a los negocios con completa transparencia cómo es que un vendor puede ayudar a detectar ataques realizados por ciertos grupos maliciosos. Al alinearse con el framework de ATT&CK, estas evaluaciones ofrecen una historia completa del ataque. 

Los equipos de seguridad pueden potenciar el framework de MITRE ATT&CK para contar una historia que ayude a simplificar las comunicaciones sobre seguridad a lo largo de su organización. El framework también le ofrece a los equipos de seguridad una visibilidad y cobertura más amplios. Un profesional de seguridad puede potenciar MITRE ATT&CK para auditar y detectar brechas de cobertura para descubrir donde pueden encontrarse las vulnerabilidades ante las amenazas. Y desde ahí pueden utilizar las evaluaciones para comparar vendors y determinar cuáles son las soluciones que mejor pueden cerrar estas brechas. Este aumento en la visibilidad también puede ayudar a identificar empalmes de cobertura que pueden ajustarse para optimizar costos. 

Aún con todos los beneficios que ofrece MITRE ATT&CK, es una cantidad bastante densa de información que revisar e interpretar, por lo que queremos facilitar las cosas. 

Sin embargo, antes de que comencemos a abordar el desglose de la evaluación y ver lo que analiza cada fase, es importante comprender los escenarios de ataque de este año. MITRE Engenuity ATT&CK Evaluations crea sus simulaciones basándose en ataques de amenazas avanzadas persistentes (APT) del mundo real, simulando los flujos operacionales de grupos maliciosos específico. Este año, la evaluación simuló de forma separada a dos grupos maliciosos con motivos financieros que utilizan comportamientos similares, Carbanak en el día 1 y FIN7 en el día 2, lo cual incluyó en total más de 174 pasos. 

MITRE Engenuity ATT&CK Evaluations pone a prueba la capacidad de una solución para detectar a un actor malicioso realizando un ataque dirigido. esto significa que, a diferencia de las pruebas tradicionales, MITRE Engenuity se enfoca singularmente las capacidades de detección de los productos después de que ha ocurrido el compromiso. Sin embargo, este año, se corrió una evaluación opcional para probar la capacidad de un producto de bloquear o prevenir un ataque, validando la efectividad del producto para detectar una amenaza en curso y detenerla antes de que ocurran daños mayores. 

 

El Compromiso: Engañando a la Víctima  

La historia de MITRE Engenuity ATT&CK Evaluations comienza con un gerente importante, ya sea en un banco o un hotel, siendo comprometido. Los atacantes simulados mandan un correo de spear phishing con un archivo adjunto malicioso al gerente con la meta de engañarlo para que lo abra, ya que esta técnica depende de la ejecución del usuario. Cuando el gerente abre el archivo adjunto, se le concede acceso inicial al grupo malicioso. 

 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.13.53-300×139.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”139″]

Manteniendo el Acceso: el Trabajo de Campo 

 Ahora que el grupo malicioso tiene acceso a la red de la organización, deben recolectar la información necesaria para completar su objetivo. Hay varias tácticas que se usan a lo largo del camino del atacante. Estas mantienen el acceso y evitan la detección a través de técnicas de persistencia y evasión de defensas.  

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.15.11-300×173.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”173″]

Los atacantes utilizan el escalamiento de privilegios, lo cual comúnmente involucra aprovechar las debilidades, temas de configuración y vulnerabilidades existentes en el sistema para obtener permisos con mayores privilegios. A partir de aquí, el actor malicioso accede y recolecta las credenciales y trabaja para descubrir cuáles son los sistemas que debe atacar para cumplir con su objetivo  

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.16.09-300×170.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”170″]

Los motivos de los dos grupos en cuestión son financieros, por lo que están buscando información que pueda darles el mayor valor monetario al momento de su venta. Históricamente, Carbanak y FIN7 han buscado información personalmente identificable (PII) e información de tarjetas de crédito para su reventa. 

 

Movimiento Lateral: Preparación para el Golpe Final 

El grupo malicioso usa técnicas de movimiento lateral para localizar el sistema deseado y obtener el control o los datos que se puedan vender por una ganancia. Este es un punto crítico en la detección del ataque. Si los actores maliciosos aún se encuentran en su red y se están moviendo lateralmente, la correlación de datos a lo largo de los ambientes es crucial para unir los puntos y detener al atacante antes de que dé el golpe final. 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.17.07-300×170.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”170″]

Trend Micro Vision One funciona muy bien para este paso. La correlación automática de datos de amenazas de áreas diferentes de la red y de distintos endpoints resulta en mejores alertas para los equipos de seguridad. No solamente le advertimos que estos eventos individuales han ocurrido – unimos los puntos por usted, mostrándole que podrían estar relacionados y que comparten indicadores de compromiso similares a un cierto tipo o grupo de ataque. 

 

Resumamos la historia de la evaluación:  

El primer ataque avanzado fue de parte del grupo Carbanak, quienes se dirigían hacia un banco, el cual es uno de los blancos más populares para el grupo. El ataque comenzó con el compromiso del gerente de recursos humanos, moviéndose lateralmente para localizar el sistema del CFO, desde el cual se llevó a cabo una recolección de datos sensibles y se hicieron transferencias de fondos.  

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.18.07-300×132.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”132″]

La segunda simulación fue un ataque del grupo FIN7, quienes lanzaron un ataque a una cadena hotelera en la que comprometieron al gerente del hotel y se mantuvo el acceso de forma secreta hasta que se recolectaron suficientes credenciales y se descubrieron nuevos sistemas víctimas potenciales; de ahí se movieron lateralmente hacia un sistema de administración de TI, se movieron después a un sistema de contabilidad y se configuró un esquema para recolectar la información de los pagos de los clientes 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.18.54-300×167.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”167″]

En el tercer escenario, la evaluación simuló 10 ataques e involucró 96 pruebas, esto para probar los controles de prevención avanzada utilizados para reducir rápidamente la exposición y permitir la respuesta frente a amenazas menos comunes. Piense en ello como cerrar con llave la puerta de su casa en lugar de depender de un sistema de vigilancia para grabar el momento en el que alguien entra a su domicilio. Asegurar que los controles de prevención se encuentran en el lugar adecuado junto con la detección es un aspecto clave para prevenir y detectar amenazas avanzadas como estas.

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.19.55-300×224.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”224″]

¿Qué significa para mí? 

Aquí es donde los más de 30 años de datos e investigaciones de amenazas de Trend Micro representan un valor agregado y le brindan toda la telemetría necesaria para contar claramente la historia de un ataque. 

La plataforma de Trend Micro Vision One puede ayudar a clientes como usted a entregar resultados impresionantes: 

• Se entregó 96% de cobertura del ataque para ofrecer visibilidad de 167 de 174 pasos simulados a lo largo de las evaluaciones. Esta amplia visibilidad permite que los clientes tengan una idea clara del ataque y puedan responder más rápido. 
• Se detectó el 100% de los ataques contra el host de Linux, capturando 14 de 14 de los pasos de los atacantes, lo cual es especialmente importante considerando el incremento en su uso por parte de muchas organizaciones. 
• Se enriquecieron 139 piezas de telemetría por parte de la plataforma de Trend Micro Vision One para ofrecer una visibilidad extremadamente efectiva de las amenazas para comprender e investigar mejor los ataques. Esto es crucial para los analistas SOC. 

• Se previnieron el 90% de los ataques simulados a través de detección y respuesta automatizadas de forma muy temprana en cada una de las pruebas. Bloquear los riesgos de forma temprana libera recursos para la investigación, permitiendo que los equipos se enfoquen en los problemas de seguridad más complejos de resolver. 

 

¿Qué más debo considerar? 

Al evaluar el desempeño de los vendors, es importante considerar la jerarquía de los tipos de detección. hay 5 tipos que MITRE ATT&CK identifica: 

 

1. Ninguno: aunque no se brinda información sobre la detección, “ninguno” no significa que no ocurrió una detección. en su lugar, significa que no cumplió con los criterios requeridos de detección de MITRE Engenuity. 
2. Telemetría: los datos procesados muestran que ocurrió un evento relacionado con el proceso que fue detectado. 
3. General: una detección general indica que algo fue designado sospechoso, pero que no fue asignado a una táctica o técnica específica.
4. Táctica: una detección de tácticas significa que la detección puede atribuirse a una meta táctica (por ejemplo, acceso a credenciales)
5. Técnica: una detección de técnicas significa que la detección puede atribuirse a una acción adversarial específica (por ejemplo, dumping de credenciales). 

 

Los resultados que se categorizan como un tipo de detección de táctica técnica y generales reflejan datos enriquecidos, lo cual es algo bueno ya que estas detecciones como la técnica individual MITRE ATT&CK y su táctica asociada puedan usarse para contar la historia detallada del ataque. esto ha resultado en un entendimiento de que las detecciones generales, de tácticas y técnicas son una de las prioridades para los vendors. 

Las tácticas son similares a un capítulo de un libro. Un CISO puede bosquejar la historia que quiere contar con las tácticas de alto nivel usadas en un ataque y después referirse a las técnicas para narrar con más detalle cómo se logró el ataque. 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.22.00-300×178.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”178″]

 

Entonces, al momento de evaluar vendors, el tipo más importante de detección a ponderar es el número de técnicas, tácticas y generales detectadas. 

La telemetría también le da acceso a los analistas de seguridad a las huellas que ofrecen una visibilidad más profunda, que es necesaria al momento de investigar las actividades de los atacantes a lo largo de los activos. de nuevo, no solamente es importante acceder a los datos, pero poder encontrar sentido en ellos. 

Trend Micro no le deja a usted la responsabilidad completa. comenzamos el proceso de correlación de datos por usted para hacer más aparente una campaña de ataque. usted también tiene la opción de explorar más a fondo las relaciones al framework de MITRE ATT&CK u obtener más información sobre tipos específicos de ataques y grupos por parte de la plataforma. 

[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2021/05/Captura-de-Pantalla-2021-05-19-a-las-10.23.15-300×124.png” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ width=”300″ height=”124″]

 

Durante la simulación, la plataforma de Trend Micro Vision One detectó ambos ataques exitosamente con visibilidad completa a lo largo del ambiente, permitiendo una investigación y detección centralizadas. Recolectando más de 167 piezas de telemetría y correlacionando las con más de 139 piezas de datos enriquecidos, el equipo pudo unir las piezas y narrar una historia clara de qué era lo que estaban intentando lograr los atacantes. 

Se condujo una tercera ronda separada para evaluar los controles de prevención que se utilizaron para prevenir el riesgo en el ambiente. Este fue un escenario opcional de protección en el que participaron 17 de los 29 vendors, incluyendo a Trend Micro. Para esta prueba en específico, el desempeño del Trend Micro fue extremadamente bueno, resaltando su capacidad de bloquear automáticamente 90% de las simulaciones.  

Otro elemento adicional este año que merece una mención especial, fue la introducción de un servidor de Linux, donde detectamos las 14 técnicas ejecutadas en el escenario simulador de ataque. 

Siempre es un placer para nosotros participar en las evaluaciones de MITRE Engenuity ATT&CK para probar nuestros productos frente a ataques rigurosos. Revise los resultados completos y conozca más información sobre Trend Micro Vision One aquí: https://resources.trendmicro.com/MITRE-Attack-Evaluations.html.