¿Qué es MITRE ATT&CK Navigator y cómo podemos usarlo?
MITRE ATT&CK Navigator es una herramienta que proporciona una forma eficiente de navegar y utilizar la ATT&CK Matrix, una base de datos de conocimiento que describe el comportamiento de adversarios y sus TTPs (Técnicas, tácticas y procedimientos).
Esta base de datos es creada y mantenida por MITRE y se organiza en dominios tecnológicos que representan los diferentes entornos en los que los adversarios operan.
Contáctanos ahora para obtener más información
y asegurar una cita con nuestro equipo de expertos.
Los beneficios de MITRE ATT&CK Navigator incluyen:
- Basado en observaciones del mundo real.
- Gratuito, abierto y accesible en todo el mundo para todos los usuarios.
- Utiliza un lenguaje común que facilita la comprensión y colaboración entre profesionales de seguridad.
- Impulsado por la comunidad, lo que significa que la comunidad de ciberseguridad contribuye y mejora constantemente la herramienta.
Que tan dificil es detectar TTPs
Detectar TTPs (Técnicas, tácticas y procedimientos) puede ser un desafío, ya que los adversarios pueden utilizar métodos sofisticados para ocultar su actividad maliciosa y evadir la detección. Sin embargo, con la ayuda de herramientas como MITRE ATT&CK Navigator, los profesionales de seguridad pueden mejorar sus capacidades de detección y prevención, y también utilizarlo para Threat Intelligence, realizar evaluaciones de tecnología para identificar vulnerabilidades y brechas, y realizar simulaciones de adversarios para mejorar la preparación ante posibles ataques.
Casos de uso en los que nos puede servir MITRE ATT&CK Navigator
- Detección de actividad maliciosa o prevención.
- Threat Intelligence.
- Assessments vs Tecnología (identificando gaps).
- Adversary Simulation.
Sin embargo, en este Artículo nos enfocaremos en el MITRE ATT&CK Navigator en
https://mitre-attack.github.io/attack-navigator/
El MITRE ATT&CK® Navigator está diseñado para proporcionar una navegación básica en la ATT&CK Matrix, algo que la gente ya está haciendo hoy en día en herramientas como Excel, pero para que inventar la rueda.
Sea diseñado para que sea fácil de usar, algunas sugerencias que nos da MITRE para su uso son:
La Ciberseguridad en México ya es un tema de todos los días.- Usar el Navegador para visualizar la cobertura defensiva que se tiene hoy en día
(de que estás protegido?) - Planificación de ejercicios Redteam / Blueteam,
- Identificar la frecuencia de las técnicas detectadas (TTPS) en su RED
Lo que se imagine… ¿prevenir?¿detectar?¿remediar?¿mitigar? ¿Prepararse?
A demás puede manipular las celdas de la matriz (cambiaré el color, agregar un comentario, asignar un valor numérico (modificar el score)), importar otras técnicas, formatos JSON.
Sin embargo, la funcionalidad más útil es la de tener la capacidad de crear sus propias Tácticas (layer) es decir, vistas personalizadas de la base de conocimiento ATT & CK:
Mostrar solo las técnicas en particular para una plataforma o destacando técnicas que se sabe que utiliza un adversario específico.
¿Quién es tu Adversario en ciberseguridad?Las tácticas se pueden crear interactivamente dentro del navegador o generarse mediante programación y luego visualizarlas a través del navegador.
La barra de herramientas de MITRE ATT&CK® Navigator se divide en 3 partes las cuales son:
- Selección de control
- Layer Controls
- Technique Controls
Navigator Selección de control
Lock-Multi-tactic technique selection
- Permite seleccionar una técnica o múltiples técnicas.
Search
- Permite buscar técnicas en la matriz, busca en los campos, nombre, ID y descripción.
Multi-select
- Proporciona una forma de seleccionar y deseleccionar rápidamente grupos de técnicas.
- La interfaz proporciona dos tipos de agrupaciones, grupos de amenazas y software.
- Los grupos de amenazas constituyen una actividad de intrusión relacionada con un nombre común.
- La capa software constituye, malware o utilidades que utilizan técnicas conocidas para la intrusión.
Deselect 1 techniques
- Borra comentarios / anotaciones realizadas en las técnicas y deshabilita todas las técnicas seleccionadas.
Layer Controls
Layer information
- El nombre, la descripción de la capa (táctica) se pueden editar en este menu desplegable. También se puede agregar metadata.
Download layer as JSON
- Permite descargar la táctica en formato JSON, para compartir o colaborar. 😀
Export to excel
- Permite descargar en formato EXCEL. Permaneciendo colores, comentarios, etc.
Render Layer to SVG
- Hace un renderizado en formato SVG, permite realizar una edición simple (re dimensionar la imagen, agregar texto, quitar o agregar más columnas) y la descargan en formato SVG.
Filters
- Filtros por plataforma (Windows, Linux, Mac, AWS, Azure, etc) o por etapa (preparar, actuar).
Color Setup
- Permite establecer un color de fondo a la táctica. La casilla mostrar debe estar seleccionada.
Show/Hide disabled
- Las técnicas que están deshabilitadas se pueden ocultar al alternar el botón “ocultar técnicas deshabilitadas”. Usar con la funcionalidad multiselect.
Technique Controls
Toggle State
- Se alternan las técnicas seleccionadas entre un estado habilitado y deshabilitado. En el estado deshabilitado, el texto de la técnica está atenuado y no se mostrarán colores (asignados manualmente o mediante puntuación).
Comment
- Permite agregar comentarios a las tecnicas seleccionadas, cuando el comentario es agregado se mostrara una línea de color amarillo.
Clear annotations on selected
- Remueve los comentarios o anotaciones realizados a la técnica.
¿Quieres saber cuál es el comportamiento de EMOTET?
Ejemplo de uso
1.- Elegimos la opción multiselect por software (Malware).
- a. 1 Seleccionar la técnica en la que vas a comentar algo.
- b. 2 Dar clic en el botón de comentario y agregar las notas que quieras.