Conocer la cobertura de amenazas con la matriz ATT&CK de MITRE
En este documento se describe cómo usar el panel de control de la matriz MITRE ATT&CK en Google Security Operations. La matriz te ayuda a conocer la postura de seguridad de tu organización en relación con el framework ATT&CK de MITRE. También te ayuda a identificar las lagunas en tu cobertura de amenazas y a priorizar tus tareas de seguridad.
Comprender las tácticas y las técnicas
En el framework ATT&CK de MITRE, los siguientes son los conceptos fundamentales que se utilizan para clasificar el comportamiento de los atacantes.
Táctica: objetivo general que intenta alcanzar un atacante. Por ejemplo, algunas tácticas habituales son
Initial Access(acceder a la red),Persistence(permanecer en la red) yExfiltration(robar datos).Técnica: el método específico que se usa para llevar a cabo una táctica. Por ejemplo, un atacante podría usar la técnica
Phishingpara obtener la tácticaInitial Access. Cada táctica tiene diferentes técnicas que un adversario podría usar.Subtécnica: una subtécnica proporciona una descripción más específica de cómo se ejecuta una técnica. Detalla el proceso o el mecanismo para alcanzar el objetivo de una táctica. Por ejemplo,
Spearphishing AttachmentySpearphishing Linkson subtécnicas de la técnicaPhishing.
Las siguientes tácticas se muestran en la matriz de MITRE ATT&CK:
| Táctica de MITRE ATT&CK | Descripción |
|---|---|
| Colección | Recoge datos. |
| Comando y control | Sistemas controlados de contacto. |
| Acceso a credenciales | Robar información de inicio de sesión y contraseñas. |
| Evasión de defensas | Evitar la detección. |
| Discovery | Determina tu entorno. |
| Ejecución | Ejecutar código malicioso. |
| Filtración externa | Robar datos. |
| Impacto | Manipular, interrumpir o destruir sistemas y datos. |
| Acceso inicial | Acceder a tu entorno. |
| Movimiento lateral | Desplazarte por tu entorno. |
| Persistencia | Mantener la posición. |
| Apropiación de privilegios | Obtener permisos de nivel superior. |
| Reconocimiento | Recopilar información para usarla en futuras operaciones maliciosas.
Esta táctica solo se muestra en la matriz cuando se selecciona la PREplataforma
en tus preferencias de usuario.
|
| Desarrollo de recursos | Establecer recursos para apoyar operaciones maliciosas.
Esta táctica solo se muestra en la matriz cuando se selecciona la plataforma PRE en las preferencias de usuario.
|
Casos prácticos habituales
En esta sección se enumeran algunos casos prácticos habituales para usar la matriz de MITRE ATT&CK.
Identificar nuevas oportunidades de detección
Objetivo: como analista de seguridad, quieres mejorar de forma proactiva la posición de seguridad de tu organización ampliando la cobertura de las reglas de detección.
Tarea: busca las áreas en las que tengas los datos necesarios para crear nuevas detecciones, pero no tengas reglas implementadas.
Pasos:
Abre la matriz de MITRE ATT&CK.
Escanea la matriz para ver las tarjetas de técnicas que muestran un recuento de reglas bajo o nulo.
Busca una tarjeta de técnica que muestre "0 reglas", pero que incluya los tipos de registro disponibles.
Haz clic en la tarjeta para abrir el panel de detalles de la técnica.
Revisa la lista de fuentes de registros para confirmar que se trata de feeds de datos fiables y de gran volumen.
Resultado: identifica una oportunidad de detección de alto valor. Sabes que estás ingiriendo correctamente los datos para detectar esta técnica y ahora puedes crear una regla para cubrir este vacío.
Responder a un nuevo aviso de amenaza
Objetivo: la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) emite una alerta sobre un nuevo ransomware que ataca a tu sector.
Tarea: como ingeniero de detección, debes saber si tus reglas de seguridad actuales pueden detectar las tácticas, técnicas y procedimientos (TTPs) específicos que utiliza esta nueva amenaza.
Pasos:
Abre la matriz de MITRE ATT&CK.
Filtra la matriz para destacar las técnicas mencionadas en la alerta de la CISA (por ejemplo,
T1486: Data Encrypted for ImpactyT1059.001: PowerShell).Observa la matriz. La matriz muestra que
PowerShellestá bien cubierta, peroData Encrypted for Impactes una brecha crítica con "Sin cobertura".
Resultado: detectas una brecha de alta prioridad en tus defensas. Ahora puede crear una regla de detección para cubrir el comportamiento del ransomware.
Ajustar y mejorar las detecciones actuales
Objetivo: tras un incidente de seguridad reciente, como ingeniero de seguridad, debes mejorar la calidad de las detecciones que se han activado.
Tarea: quieres ver todos los puntos de datos de una técnica específica. Esto le ayudará a decidir si sus reglas utilizan las mejores fuentes de datos y la lógica más adecuada.
Pasos:
Abre la matriz y haz clic en la técnica.
T1003: OS Credential DumpingEn la vista Detalles se muestran las dos reglas de esta técnica.
Ten en cuenta que ambas reglas usan registros de línea de comandos antiguos. Sin embargo, el widget de fuente de datos muestra que la nueva herramienta EDR proporciona datos de mayor fidelidad para esta técnica.
Resultado: encuentras una forma clara de mejorar la calidad de la detección. Ahora puede crear una regla nueva y más sólida con los datos de EDR. De esta forma, se producen menos falsos positivos y hay más probabilidades de detectar ataques complejos de volcado de credenciales.
Antes de empezar
Para que tus reglas personalizadas aparezcan en la matriz y se tengan en cuenta en la cobertura de amenazas, debes asignarlas a una o varias técnicas de MITRE ATT&CK.
Para ello, añade una clave technique a la sección metadata de la regla. El valor debe ser un ID de técnica de MITRE ATT&CK válido o varios IDs en forma de cadena separada por comas.
Ejemplo: metadata: technique="T1548,T1134.001"
Las nuevas reglas aparecerán en la matriz en unos minutos.
Acceder a la matriz de MITRE ATT&CK
Para acceder a la matriz de MITRE ATT&CK, haz lo siguiente:
En el menú de navegación, haga clic en Detección > Reglas y detecciones.
Ve a la pestaña Matriz de MITRE ATT&CK.
Aparecerá la matriz de MITRE ATT&CK.
Usar la matriz de MITRE ATT&CK
La matriz muestra las tácticas de MITRE ATT&CK en columnas y las técnicas en tarjetas dentro de esas columnas. Cada tarjeta de técnica tiene un código de colores que indica el estado y la profundidad de la cobertura de detección de esa técnica.
En las tarjetas de técnicas, puedes ver lo siguiente:
Indicadores de subtécnicas: los indicadores pequeños de colores representan las subtécnicas asociadas. El color de cada indicador corresponde al número de reglas de esa subtécnica. Mantén el puntero sobre un indicador para ver su nombre.
Interruptor de subtécnicas: para simplificar la matriz principal y reducir el ruido visual, abre el menú Opciones de vista y desmarca la casilla Mostrar subtécnicas.
Número de tipos de registro: muestra los tipos de registro asociados a la técnica. Si una técnica no tiene ninguna regla, la tarjeta de la técnica puede mostrar un recuento de los tipos de registro asociados (por ejemplo, "7 tipos de registro"). Esto indica que hay una oportunidad de detección, lo que significa que tiene los datos necesarios para crear reglas para esa técnica.
Perfeccionar el cálculo de la cobertura
Para acotar el cálculo de la cobertura, usa las listas Tipo de regla, Estado activo y Estado de las alertas.
Buscar técnicas
Usa la barra de búsqueda para encontrar una técnica específica por su nombre (por ejemplo, Windows Command Shell) o ID (por ejemplo, T1059.003). Para buscar nombres de reglas, tipos de registros o fuentes de datos de MITRE, usa el menú Buscar por para acotar los resultados.
Ver los detalles de la técnica y las fuentes de registro
Haz clic en cualquier tarjeta de técnica para abrir el panel lateral de detalles de la técnica. Este panel proporciona información sobre la técnica y la capacidad de tu organización para detectarla.
El panel contiene la siguiente información:
Descripción de MITRE: la descripción oficial de la técnica del framework ATT&CK de MITRE.
Subtécnicas: todas las subtécnicas asociadas a la técnica. El chip de color situado junto a cada ID indica el número de reglas de esa subtécnica específica.
Reglas seleccionadas: una lista completa de todas las reglas asociadas a esa técnica.
Orígenes de registros: orígenes de registros que se corresponden con los orígenes de datos de MITRE de la técnica y que han enviado datos de forma activa en los últimos 30 días.
Exportar datos
Haz clic en Exportar para descargar la vista de matriz actual como un archivo JSON. Este archivo es compatible con la herramienta oficial MITRE ATT&CK Navigator para realizar análisis más detallados.
¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.