Las empresas están adoptando ampliamente el marco MITRE ATT & CK, una base de conocimientos de tácticas y técnicas adversas. Sin embargo, los investigadores de seguridad han descubierto que la mayoría de estas empresas han tenido problemas para utilizar el marco de forma eficaz.
A medida que continúa el giro generalizado hacia el trabajo remoto, es probable que se aceleren los ataques a la nube, lo que hace que los marcos de descubrimiento de amenazas como MITRE ATT & CK sean más importantes que nunca.
Estos son los desafíos que enfrentan los equipos de seguridad cibernética con el marco y lo que los expertos pueden hacer para superarlos.
Varios estudios recientes han identificado desafíos para los equipos de seguridad que utilizan el marco MITRE ATT & CK. Uno de los más importantes se publicó a fines del año pasado como un proyecto conjunto entre la empresa de seguridad McAfee y el Center for Long Term Cybersecurity en UC Berkeley.
Según el estudio, el marco MITRE ATT & CK ocupa un importante nicho de seguridad. ATT & CK es la abreviatura de Adversarial Tactics, Techniques and Common Knowledge, y sirve para proporcionar un lenguaje común y un conjunto de estrategias para los trabajadores de seguridad cibernética que defienden las redes empresariales contra ataques adversarios.
Las técnicas adversarias se ejecutan contra casi todas las empresas que utilizan la nube. El marco MITRE ATT & CK es una base de conocimientos ampliamente adoptada que ayuda a las empresas a determinar las brechas en las estrategias de seguridad actuales. La base de conocimientos también puede ser una herramienta esencial para implementar métodos como la detección de amenazas en tiempo real.
En su mayor parte, ha reemplazado el marco Cyber Kill Chain como la base de conocimiento estándar para la comunidad de seguridad cibernética. Sin embargo, los autores del estudio también encuentran que la mayoría de los equipos de seguridad no están utilizando el marco en todo su potencial. Los desafíos que enfrentan los equipos de seguridad están relacionados principalmente con el análisis y la correlación continuos, que el estudio describe como una “causa principal del agotamiento del SOC”.
Los eventos de seguridad generan grandes cantidades de datos y, sin automatización, responder a ellos de manera oportuna puede crear una carga laboral inviable para los equipos de seguridad. La mayoría de los que han adoptado el marco MITRE no han incluido la automatización relevante. Si bien el 91% de las unidades usan el marco para etiquetar eventos de red con productos de seguridad en la nube, menos de la mitad automatiza los cambios apropiados en las políticas de seguridad.
Un número similar de equipos también ha informado que tienen problemas con la interoperabilidad entre el marco y los productos de seguridad.
Otros desafíos incluyen la dificultad para mapear los eventos de la red con los cambios en las políticas de seguridad y las fallas para correlacionar los eventos de la nube, la red y los puntos finales. También existen problemas con el uso de productos de seguridad que pueden no detectar todas las técnicas presentes en las matrices ATT & CK.
A menudo, estos equipos han implementado de forma muy eficaz estrategias de seguridad fundamentales, como la gestión automatizada de parches y la seguridad perimetral eficaz. Sin embargo, también luchan con técnicas de seguridad avanzadas, como el escaneo de vulnerabilidades y la detección de intrusiones.
Mejores prácticas para usar el marco MITRE ATT & CK
El segundo informe, publicado en junio de 2021, proviene del Centro de Ciberseguridad y la Agencia de Seguridad de la Infraestructura de EE. UU. (CISA). Este informe cita el informe de McAfee-Berkley y ofrece una lista de las mejores prácticas para empresas y equipos de seguridad cibernética que luchan por utilizar el marco MITRE ATT & CK de manera eficaz.
Al igual que el estudio de McAfee-Berkley, el informe CISA encuentra que el marco ATT & CK se está adoptando entre las principales empresas. Sin embargo, menos de la mitad cree que sus sistemas de seguridad implementados actualmente podrían detectar todas las amenazas en las matrices ATT & CK.
Los autores del informe ofrecen algunos consejos y mejores prácticas potenciales que los equipos pueden implementar para superar estos desafíos. Por ejemplo, el informe describe algunos enfoques diferentes que pueden ayudar a las empresas que han tenido dificultades para mapear MITRE ATT & CK en datos sin procesar.
Estas opciones incluyen comenzar con una fuente de datos para identificar la técnica de ataque, implementar herramientas específicas antes de ampliar el análisis de un ataque del adversario y seguir reglas de detección como Sigma o el Repositorio de Cyber Analytics de MITRE.
Otras recomendaciones de informes para las mejores prácticas se centran en mapear MITRE ATT & CK en informes terminados. El estudio también incluye algunas pautas básicas de mapeo e información sobre la terminología de ATT & CK en su introducción.
El informe concluye con un apéndice que contiene una lista de valiosos recursos relacionados con MITRE que las empresas pueden utilizar para mejorar el conocimiento del equipo de seguridad cibernética o mejorar sus sistemas de seguridad.
Estos recursos incluyen el informe de MITRE sobre la filosofía de diseño detrás de ATT & CK, una lista de cursos de capacitación y un documento que demuestra cómo los equipos pueden usar este protocolo para describir y responder a un ataque.
Cómo las empresas pueden superar los desafíos clave de MITRE ATT & CK
Las empresas que probablemente se enfrentarán a ataques de adversarios pueden beneficiarse significativamente del marco MITRE ATT & CK. Sin embargo, las investigaciones muestran que no es inusual que las empresas tengan dificultades para aplicar la información del marco a las operaciones de seguridad del día a día.
Los problemas de interoperabilidad, los desafíos de automatización y los productos de seguridad ineficaces pueden hacer que la aplicación del marco sea mucho más desafiante. Las mejores prácticas emergentes pueden ayudar a las empresas a utilizar MITRE ATT & CK de manera más eficaz para defenderse de estos ataques.