ataque dirigido
MITRE no es solo una empresa que compara las soluciones de seguridad. Es una organización sin fines de lucro cuya misión es crear un mundo más seguro. Cualquier persona que tenga algún conocimiento del mundo de la ciberseguridad sabrá que se le conoce principalmente por su base de datos de vulnerabilidades y exposiciones comunes (CVE por sus siglas en inglés). Hace algún tiempo, la empresa fue un paso más allá y creó la matriz de amenazas MITRE ATT&CK (Tácticas, Técnicas y Conocimiento Común de Adversarios) .
¿Qué es MITRE ATT&CK?
Básicamente, MITRE ATT&CK es una base de conocimiento abierto que abarca técnicas usadas en ataques dirigidos de diversos actores. La información se presenta en forma de matriz, lo que proporciona una descripción de cómo los atacantes penetran y se afianzan en una infraestructura corporativa, los trucos que utilizan para pasar desapercibidos y demás. Se trata de una matriz de amenazas a nivel empresarial, pero MITRE también trabaja en matrices que abarcan las tácticas cibercriminales que se usan en los ciberataques contra dispositivos móviles usados en el trabajo y sistemas de control industrial.
No obstante, MITRE ATT&CK no solamente recopila información en aras del conocimiento. Está destinado a simplificar la construcción de modelos de amenazas para diversas industrias y, sobre todo, puede usarse para determinar si una solución de seguridad específica o una combinación de soluciones pueden detectar las amenazas conocidas. En teoría, sucede de este modo: una empresa en busca de una solución de seguridad para proteger su infraestructura compara las habilidades de cada candidato con la matriz de ATT&CK y comprueba qué amenazas restan. Es un poco parecido al juego de lotería. En la práctica, con el fin de entender qué amenazas identifica un producto de seguridad en particular, MITRE realiza pruebas conocidas como evaluaciones de ATT&CK.
Las evaluaciones de ATT&CK y cómo funcionan
Los investigadores de MITRE eligieron un actor de APT conocido y a lo largo de varios años emularon los ataques en el ambiente de prueba cuya solución evalúan; pero no ejecutan réplicas idénticas de ataques pasados, naturalmente. En su lugar, modifican las herramientas de ataques individuales para hallar de qué modo la solución de seguridad detecta varias técnicas de adversarios durante las fases de un ataque. Los mecanismos de respuesta se desactivan durante la evaluación (de otro modo, sería imposible probar algunas fases).
El ciclo actual de pruebas se llama Evaluación APT29. En esta evaluación, los investigadores simularon los esfuerzos del grupo APT29, también conocido como CozyDuke, Cozy Bear y The Dukes. He aquí un artículo detallado acerca de las evaluaciones de ATT&CK.
Prueba de productos y sus resultados
El ciclo más reciente probó nuestra solución Kaspersky Endpoint Detection y el servicio Kaspersky Managed Protection. Puedes leer más acerca de la configuración específica en este artículo.
Nuestra solución de seguridad demostró un alto nivel de detección de técnicas clave en las etapas cruciales de los ataques dirigidos modernos; en particular, en las fases de ejecución, persistencia, elevación de privilegios y movimiento lateral. Si quieres consultar los resultados detallados de la evaluación a las soluciones de seguridad de Kaspersky y otros materiales relacionados con ATT&CK, visita el área de MITRE ATT&CK en nuestro sitio web corporativo.
Consejos