Interpretación y evolución de MITRE ATT&CK: más cobertura “horizontal” no significa mejor protección

La matriz MITRE ATT&CK se ha convertido en el estándar de clasificación de los posibles comportamientos de los adversarios. Su popularidad no ha hecho más que crecer en los dos últimos años. Las ventajas de este marco para los fabricantes son evidentes: ahora pueden, mapear, adaptar y mejorar sus capacidades de detección. Los beneficios para otros actores en ciberseguridad también son claros, como los Red Teams, que ahora pueden emular mejor la actividad de los adversarios; o para gestores de la ciberseguridad, que pueden evaluar mejor y de forma más sistemática sus defensas e identificar lagunas. ATT&CK es una base de datos de gran tamaño que sirve para identificar tácticas comunes, técnicas y procedimientos (TTPs por sus siglas en inglés) que las amenazas persistentes avanzadas utilizan contra plataformas informáticas.

Ahora MITRE incorpora importantes cambios en su Matriz ATT&CK. El pasado 31 de marzo, como evolución del modelo y parte de su roadmap para este año, MITRE publicaba la versión beta de la nueva matriz. Nuevas técnicas, algunas otras descontinuadas, cambios en los nombres y descripciones y quizás el cambio más novedoso: la introducción de sub-técnicas, que añaden un nivel más a la estructura de la matriz. De esta manera, pasamos a contar con tácticas, técnicas, sub-técnicas y procedimientos. En total más de 340 técnicas y subtécnicas mapeadas en las 12 tácticas que conforman las columnas de la matriz. Un esfuerzo titánico por parte de MITRE, que con esta actualización permite contar con la catalogación más completa y sistemática del comportamiento de los ciberatacantes hasta la fecha.

Utilización de MITRE ATT&CK en la evaluación de productos de seguridad

A pesar de la gran mejora que esta iniciativa ha supuesto, existe cierto grado de confusión respecto a la interpretación de la aplicación del modelo, sobre todo a la hora de evaluar soluciones de seguridad.

“Las evaluaciones en base a ATT&CK deben definir el tipo de cobertura a medir, según los objetivos de cada evaluación. Más cobertura “horizontal” no significa mejor protección.”

En primer lugar, y tras la publicación de los resultados de la primera evaluación de producto de tipo EDR realizada por MITRE en 2018 (la llamada Round 1), algunos participantes -no MITRE-, trataron de equiparar el grado de cobertura de detección de las técnicas con una mayor calidad o efectividad de protección. La propia MITRE señala que ATT&CK documenta el comportamiento conocido de los adversarios y no intenta ser un checklist de las cosas que deben chequeadas.

No todos esos comportamientos pueden o deben ser utilizados como base para enviar alertas o datos a un analista. Sin embargo, resulta tentador para un fabricante mostrar gráficas representando un mayor grado de cobertura de las técnicas de la matriz, independientemente de la táctica a la que pertenezcan. Por tanto, el concepto de cobertura puede ser engañoso. Las técnicas -y ahora, también las sub-técnicas- pueden implementarse de muchas formas cambiantes -procedimientos- por parte de los atacantes, y es muy difícil conocerlas todas a priori. El resultado puede ser distinto si se evalúa uno u otro procedimiento, para una misma técnica y producto.

En un estudio publicado por OPTIV en 2019, ya pudimos comprobar el diferente comportamiento de varios productos de seguridad, testeando varios procedimientos para una misma técnica vs testeando uno solo -referencia-. Por lo tanto, mayor cobertura horizontal no significa necesariamente “mejor” producto.

De hecho, no todas las tácticas pueden tener el mismo peso o importancia para una organización evaluando un producto determinado. Por ejemplo, si se está evaluando, la capacidad real de protección (incluyendo la prevención), entonces convendrá prestar especial atención a una cobertura más profunda, de más procedimientos, para las tácticas “más a la izquierda” en la matriz; de forma que se bloqueen los intentos de los atacantes para conseguir un acceso inicial a los sistemas objetivo, la ejecución de código malicioso o los intentos de ganar persistencia en dichos sistemas.

Estas consideraciones deben establecerse en función de los objetivos de cada organización a la hora de plantearse el uso de ATT&CK. Los casos de uso pueden ser distintos y, por tanto, el peso relativo y el tipo de cobertura para tácticas y técnicas, también. Esto es algo que el propio marco no contempla. Para completar este punto, recordar también que algunas evaluaciones requieren que los productos tengan deshabilitadas las funcionalidades de prevención y bloqueo, como ocurrió en el Round 1 que citábamos antes realizado por MITRE. De otra forma, no se habrían podido evaluar las capacidades de detección de los productos.

Evolución del modelo

En estos momentos, se está a la espera de que MITRE publique los resultados de una segunda evaluación de productos (la llamada Round 2). El número de técnicas y la complejidad inherente al testeo de productos de seguridad hace que este trabajo requiera cada vez de más esfuerzo. Al mismo tiempo, otras empresas de testeo de soluciones de seguridad están también trabajando para adaptar sus tests y mapearse al modelo MITRE y al mismo tiempo emular situaciones reales de ataques, sin las limitaciones expuestas anteriormente. Sin duda, queda mucho camino por recorrer en esta área.

“El modelo evolucionará incluyendo también la perspectiva de los defensores y la sistematización de analíticas y formas de prevención, detección y respuesta.”

A futuro, esperamos también una mayor atención a otros proyectos interesantes- de la propia MITRE y de otros-, enfocados no solo en el comportamiento de los adversarios, sino en la catalogación de las defensas para detectarlo de forma sistemática, como es el caso del uso de LOLBAS (Living Off the Land Binaries and Scripts). Una compilación de las técnicas LOLBAS está disponible en GitHub. Otro ejemplo, de la propia MITRE, y enfocado también desde la perspectiva de los defensores, es el proyecto Cyber Analytics Repository (CAR): compilando analíticas que pueden ser utilizada por los defensores para detectar ataques, mapeándolas también con la matriz ATT&CK. Por lo tanto, el modelo irá extendiéndose e incluirá la sistematización de las defensas, desde la prevención hasta la detección y la respuesta.