enespt-br
Glossary

MITRE ATT&CK

Una base de conocimiento públicamente accesible que documenta tácticas y técnicas de adversarios reales utilizadas en ataques cibernéticos, estructurada como un marco para análisis de amenazas y defensa.

Definición

MITRE ATT&CK (Tácticas de Adversarios, Técnicas y Conocimiento Común) es una base de conocimiento curada y disponible públicamente de tácticas y técnicas de adversarios basadas en observaciones del mundo real. Documenta cómo los actores de amenaza realmente conducen ataques, proporcionando un marco estandarizado para análisis de amenazas, planificación de defensa y pruebas de seguridad.

En lugar de categorías de amenaza abstractas, ATT&CK proporciona comportamientos específicos y observables: “Este actor de amenaza utiliza SSH para movimiento lateral (T1021.001)” en lugar de “los atacantes utilizan técnicas sofisticadas.”

Estructura

ATT&CK organiza el comportamiento de adversarios en una jerarquía:

Tácticas

Los objetivos estratégicos de los adversarios. Los ejemplos incluyen:

  • Reconocimiento – Recopilar información antes del ataque
  • Desarrollo de Recursos – Configurar herramientas e infraestructura
  • Acceso Inicial – Obtener un punto de apoyo en la red de destino
  • Persistencia – Mantener el acceso
  • Escalada de Privilegios – Obtener acceso de nivel superior
  • Movimiento Lateral – Moverse a través de la red
  • Exfiltración – Robar datos

Técnicas

Los métodos específicos utilizados para lograr tácticas. Ejemplo: T1021 (Iniciación de Sesión de Servicio Remoto) es una técnica de Movimiento Lateral. Las sub-técnicas incluyen T1021.001 (SSH) y T1021.004 (RDP).

Procedimientos

Cómo implementan las técnicas actores de amenaza específicos. Ejemplo: “El actor de amenaza X utiliza T1021.001 (movimiento lateral SSH) con scripts personalizados para moverse a través de entornos Windows.”

Matrices

MITRE mantiene matrices separadas para diferentes entornos operacionales:

  • Empresa – Windows, Linux, macOS (más ampliamente utilizado)
  • Móvil – iOS, Android
  • ICS – Sistemas de Control Industrial
  • Nube – AWS, Azure, GCP

Por Qué Importa ATT&CK

Crea Lenguaje Común

Antes de ATT&CK, la inteligencia de amenazas estaba fragmentada. Hoy en día, todos los equipos de seguridad hacen referencia a las mismas 700+ técnicas, permitiendo una comunicación precisa.

Guía la Ingeniería de Detección

En lugar de escribir reglas de detección al azar, los equipos utilizan ATT&CK para identificar sistemáticamente brechas de cobertura. “¿Detectamos todas las variantes del Movimiento Lateral?”

Habilita la Búsqueda de Amenazas

En lugar de búsquedas vagas de “actividad sospechosa,” los cazadores se dirigen a técnicas específicas. “Buscar evidencia de T1087 (Descubrimiento de Cuentas).”

Mejora la Respuesta ante Incidentes

Cuando se detecta un ataque, los equipos entienden inmediatamente cuál táctica y técnica están involucradas, habilitando respuesta más rápida.

Apoya Ejercicios de Equipo Rojo

Los equipos rojos utilizan ATT&CK para probar sistemáticamente defensas contra patrones de ataque conocidos.

Cómo Utilizan ATT&CK los Equipos de Seguridad

  1. Perfiles de Amenaza – Mapear actores de amenaza a sus técnicas conocidas
  2. Análisis de Brechas – Identificar brechas de cobertura de detección contra su panorama de amenazas
  3. Escritura de Detecciones – Crear reglas dirigidas a técnicas específicas
  4. Búsqueda de Amenazas – Buscar proactivamente implementaciones de técnicas
  5. Ejercicios de Equipo Rojo – Probar defensas contra técnicas conocidas
  6. Métricas de Seguridad – Rastrear qué técnicas puede detectar y cuáles no

Ejemplo: Usando ATT&CK

Una organización de atención médica observa intentos de phishing dirigidos a su personal.

Análisis ATT&CK:

  • Vector inicial = T1566.002 (Phishing: Enlace de Phishing Dirigido)
  • Posibles seguimientos = T1110 (Fuerza Bruta), T1021 (Movimiento Lateral)

Acciones:

  • Activar reglas de detección para T1110 y T1021
  • Conducir búsquedas de amenazas para estas técnicas
  • Pruebas de equipo rojo phishing → ataque de fuerza bruta de credenciales

Resultado: Cuando el phishing tiene éxito, las defensas están preparadas para el ataque subsiguiente.

Accediendo a ATT&CK

  • Sitio web: attack.mitre.org
  • Herramienta Navigator: Visualizar cobertura y brechas
  • Integraciones: La mayoría de plataformas de seguridad (SIEM, EDR, inteligencia de amenazas) incluyen mapeos ATT&CK

Ver También

Related Terms

Actor de AmenazaIngeniería de Detección