Conocer la cobertura de amenazas con la matriz ATT&CK de MITRE
En este documento se describe cómo usar el panel de control de la matriz MITRE ATT&CK en Google Security Operations. La matriz te ayuda a conocer la postura de seguridad de tu organización en relación con el framework ATT&CK de MITRE. También te ayuda a identificar las lagunas en tu cobertura de amenazas y a priorizar tus tareas de seguridad.
Conocer las tácticas y las técnicas
En el framework ATT&CK de MITRE, las tácticas y las técnicas son dos conceptos fundamentales que se usan para clasificar el comportamiento de los atacantes.
Táctica: objetivo general que intenta alcanzar un atacante. Por ejemplo, algunas tácticas habituales son
Initial Access(acceder a la red),Persistence(mantenerse en la red) yExfiltration(robar datos).Técnica: el método específico que se usa para llevar a cabo una táctica. Por ejemplo, un atacante podría usar la técnica
Phishingpara obtener la tácticaInitial Access. Cada táctica tiene diferentes técnicas que un adversario podría usar.
En la matriz de MITRE ATT&CK se muestran las siguientes tácticas:
| Táctica de MITRE ATT&CK | Descripción |
|---|---|
| Colección | Recoge datos. |
| Comando y control | Contactar con sistemas controlados. |
| Acceso a credenciales | Robar información de inicio de sesión y contraseñas. |
| Evasión de defensas | Evitar la detección. |
| Discovery | Determina tu entorno. |
| Ejecución | Ejecutar código malicioso. |
| Filtración externa | Robar datos. |
| Impacto | Manipular, interrumpir o destruir sistemas y datos. |
| Acceso inicial | Acceder a tu entorno. |
| Movimiento lateral | Desplazarte por tu entorno. |
| Persistencia | Mantener la posición. |
| Apropiación de privilegios | Obtener permisos de nivel superior. |
| Reconocimiento | Recopilar información para usarla en futuras operaciones maliciosas.
Esta táctica solo se muestra en la matriz cuando se selecciona la plataforma PRE en las preferencias de usuario.
|
| Desarrollo de recursos | Establecer recursos para apoyar operaciones maliciosas.
Esta táctica solo se muestra en la matriz cuando se selecciona la plataforma PRE en las preferencias de usuario.
|
Casos prácticos habituales
En esta sección se enumeran algunos casos prácticos habituales para usar la matriz de MITRE ATT&CK.
Responder a un nuevo aviso de amenaza
Situación: la Agencia de Seguridad de Infraestructuras y Ciberseguridad (CISA) emite una alerta sobre un nuevo ransomware que ataca a tu sector.
Objetivo del usuario: un ingeniero de detección necesita saber si sus reglas de seguridad actuales pueden detectar las tácticas, técnicas y procedimientos (TTPs) específicos que utiliza esta nueva amenaza.
Pasos:
El ingeniero abre la matriz ATT&CK de MITRE.
Filtran la matriz para destacar las técnicas mencionadas en la alerta de CISA (por ejemplo,
T1486: Data Encrypted for ImpactyT1059.001: PowerShell).Se dan cuenta de que la matriz muestra que
PowerShelltiene una buena cobertura, peroData Encrypted for Impactes una brecha crítica con "Sin cobertura".
Resultado: el ingeniero detecta una vulnerabilidad de alta prioridad en sus defensas. Ahora pueden crear una regla de detección para cubrir el comportamiento del ransomware.
Ajustar y mejorar las detecciones actuales
Situación: tras un incidente de seguridad reciente, un ingeniero de seguridad necesita mejorar la calidad de las detecciones que se han activado.
Objetivo del usuario: el ingeniero quiere ver todos los puntos de datos de una técnica específica. Esto les ayuda a decidir si sus reglas utilizan las mejores fuentes de datos y la lógica más adecuada.
Pasos:
El ingeniero abre la matriz y hace clic en la técnica.
T1003: OS Credential DumpingEn la vista Detalles se muestran las dos reglas de esta técnica.
Se dan cuenta de que ambas reglas usan registros de línea de comandos antiguos. Sin embargo, el widget de fuente de datos muestra que su nueva herramienta de EDR proporciona datos de mayor fidelidad para esta técnica.
Resultado: el ingeniero encuentra una forma clara de mejorar la calidad de la detección. Ahora pueden crear una regla nueva y más sólida con los datos de EDR. De esta forma, se producen menos falsos positivos y hay más probabilidades de detectar ataques complejos de volcado de credenciales.
Antes de empezar
Para que tus reglas personalizadas aparezcan en la matriz y se tengan en cuenta en la cobertura de amenazas, debes asignarlas a una o varias técnicas de MITRE ATT&CK.
Para ello, añade una clave technique a la sección metadata de la regla. El valor debe ser un ID de técnica de MITRE ATT&CK válido o varios IDs en forma de cadena separada por comas.
Ejemplo: metadata: technique="T1548,T1134.001"
Las nuevas reglas aparecerán en la matriz en unos minutos.
Acceder a la matriz de MITRE ATT&CK
Para acceder a la matriz ATT&CK de MITRE, haz lo siguiente:
En el menú de navegación, haga clic en Detección > Reglas y detecciones.
Ve a la pestaña Matriz de MITRE ATT&CK.
Aparecerá la matriz de MITRE ATT&CK.
Usar la matriz de MITRE ATT&CK
La matriz muestra las tácticas de MITRE ATT&CK en columnas y las técnicas en tarjetas dentro de esas columnas. Cada tarjeta de técnica tiene un código de colores que indica el estado y la profundidad de la cobertura de detección de esa técnica.
Perfeccionar el cálculo de la cobertura
Para acotar el cálculo de la cobertura, usa las listas Tipo de regla, Estado activo y Estado de alerta.
Buscar técnicas
Usa la barra de búsqueda para encontrar una técnica específica por nombre (por ejemplo, Windows Command Shell) o ID (por ejemplo, T1059.003), tipos de registro o fuente de datos de MITRE.
Ver los detalles de la técnica y las fuentes de registro
Haz clic en cualquier tarjeta de técnica para abrir el panel lateral de detalles de la técnica. Este panel proporciona información sobre la técnica y la capacidad de tu organización para detectarla.
El panel contiene la siguiente información:
Descripción de MITRE: la descripción oficial de la técnica del framework ATT&CK de MITRE.
Reglas asociadas: lista de todas las reglas asociadas a esa técnica.
Orígenes de registros: orígenes de registros que se corresponden con los orígenes de datos de MITRE de la técnica y que han enviado datos de forma activa en los últimos 30 días.
Exportar datos
Haga clic en Exportar para descargar la vista de matriz actual como un archivo JSON. Este archivo es compatible con la herramienta oficial MITRE ATT&CK Navigator para realizar análisis más detallados.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.