MITRE no es solo una empresa que compara las soluciones de seguridad, se trata de una organización sin ánimo de lucro cuya misión es crear un mundo más seguro. Cualquier persona que tenga algún tipo de conocimiento sobre el mundo de la ciberseguridad sabrá que se le conoce principalmente por su base de datos de vulnerabilidades (CVE por sus siglas en inglés). Hace algún tiempo, la empresa fue un paso más allá y creó la matriz de amenazas MITRE ATT&CK (Tácticas, Técnicas y Conocimiento Común de Adversarios).
¿Qué es MITRE ATT&CK?
Básicamente, MITRE ATT&CK es una base abierta de conocimiento que abarca técnicas usadas en ataques dirigidos de diversos actores. La información se presenta en forma de matriz, lo que proporciona una descripción de cómo los atacantes penetran y se afianzan en una infraestructura corporativa, los trucos que utilizan para pasar desapercibidos, etc. Se trata de una matriz de amenazas a nivel empresarial, pero MITRE también trabaja en matrices que abarcan las tácticas que usan los ciberdelincuentes en sus ataques contra dispositivos móviles y sistemas de control industrial.
No obstante, MITRE ATT&CK no solo recopila información por el bien del conocimiento. Está destinado a simplificar la construcción de modelos de amenazas para diversas industrias y, sobre todo, puede usarse para determinar qué amenazas conocidas puede detectar una solución específica o una combinación de soluciones. En teoría, este es el proceso: una empresa en busca de una solución para proteger su infraestructura compara las habilidades de cada candidato con la matriz de ATT&CK y comprueba qué amenazas continúan. Se parece un poco al bingo. En la práctica, con el fin de entender qué amenazas identifica un producto de seguridad en particular, MITRE realiza pruebas conocidas como evaluaciones de ATT&CK.
Las evaluaciones de ATT&CK y cómo funcionan
Los investigadores de MITRE eligen un actor de APT conocido y a lo largo de varios día emulan los ataques en el ambiente de prueba de la solución que están evaluando; pero, como es natural, no ejecutan réplicas idénticas de ataques anteriores. En su lugar, modifican las herramientas de ataques individuales para hallar de qué modo la solución detecta varias técnicas de adversarios durante las fases de un ataque. Los mecanismos de respuesta se desactivan durante la evaluación (de otro modo, sería imposible probar algunas fases).
El ciclo actual de pruebas se llama Evaluación APT29. En esta evaluación, los investigadores simulan los esfuerzos del grupo APT29 (en inglés), también conocido como CozyDuke, Cozy Bear y The Dukes. He aquí un artículo detallado acerca de las evaluaciones de ATT&CK (en inglés).
Prueba de productos y sus resultados
El ciclo más reciente probó nuestra solución Kaspersky Endpoint Detection y el servicio Kaspersky Managed Protection. Puedes leer más acerca de la configuración específica en este artículo (en inglés).
Nuestra solución demostró un alto nivel de detección de técnicas clave en las etapas cruciales de los ataques dirigidos modernos; en particular, en las fases de ejecución, persistencia, elevación de privilegios y movimiento lateral. Si quieres consultar los resultados detallados de la evaluación y otros materiales relacionados con ATT&CK, visita el área de MITRE ATT&CK en nuestro sitio web corporativo (en inglés).