¿Qué es MITRE ATT&CK Navigator y cómo podemos usarlo?

Actualmente, MITRE ha definido dos dominios tecnológicos: Enterprise (que abarca redes empresariales tradicionales) y Mobile (para dispositivos móviles y de comunicación). Dentro de cada dominio tecnológico, ATT&CK define múltiples plataformas, que pueden ser sistemas operativos o aplicaciones, como Microsoft Windows, entre otros. Las técnicas pueden aplicarse a múltiples plataformas, lo que permite un enfoque amplio en la seguridad.

Los beneficios de MITRE ATT&CK Navigator incluyen:

1. Basado en observaciones del mundo real.
2. Gratuito, abierto y accesible en todo el mundo para todos los usuarios.
3. Utiliza un lenguaje común que facilita la comprensión y colaboración entre profesionales de seguridad.
4. Impulsado por la comunidad, lo que significa que la comunidad de ciberseguridad contribuye y mejora constantemente la herramienta.

Que tan dificil es detectar TTPs

Detectar TTPs (Técnicas, tácticas y procedimientos) puede ser un desafío, ya que los adversarios pueden utilizar métodos sofisticados para ocultar su actividad maliciosa y evadir la detección. Sin embargo, con la ayuda de herramientas como MITRE ATT&CK Navigator, los profesionales de seguridad pueden mejorar sus capacidades de detección y prevención, y también utilizarlo para Threat Intelligence, realizar evaluaciones de tecnología para identificar vulnerabilidades y brechas, y realizar simulaciones de adversarios para mejorar la preparación ante posibles ataques.

Casos de uso en los que nos puede servir MITRE ATT&CK Navigator

• Detección de actividad maliciosa o prevención.
• Threat Intelligence.
• Assessments vs Tecnología (identificando gaps).
• Adversary Simulation.

Sin embargo, en este Artículo nos enfocaremos en el MITRE ATT&CK Navigator en
https://mitre-attack.github.io/attack-navigator/

El MITRE ATT&CK® Navigator está diseñado para proporcionar una navegación básica en la ATT&CK Matrix, algo que la gente ya está haciendo hoy en día en herramientas como Excel, pero para que inventar la rueda.

Sea diseñado para que sea fácil de usar, algunas sugerencias que nos da MITRE para su uso son:

La Ciberseguridad en México ya es un tema de todos los días.

• Usar el Navegador para visualizar la cobertura defensiva que se tiene hoy en día
  (de que estás protegido?)
• Planificación de ejercicios Redteam / Blueteam,
• Identificar la frecuencia de las técnicas detectadas (TTPS) en su RED
  Lo que se imagine… ¿prevenir?¿detectar?¿remediar?¿mitigar? ¿Prepararse?
  

A demás puede manipular las celdas de la matriz (cambiaré el color, agregar un comentario, asignar un valor numérico (modificar el score)), importar otras técnicas, formatos JSON.

Sin embargo, la funcionalidad más útil es la de tener la capacidad de crear sus propias Tácticas (layer) es decir, vistas personalizadas de la base de conocimiento ATT & CK:

Mostrar solo las técnicas en particular para una plataforma o destacando técnicas que se sabe que utiliza un adversario específico.

¿Quién es tu Adversario en ciberseguridad?

Las tácticas se pueden crear interactivamente dentro del navegador o generarse mediante programación y luego visualizarlas a través del navegador.

La barra de herramientas de MITRE ATT&CK® Navigator se divide en 3 partes las cuales son:

1. Selección de control
2. Layer Controls
3. Technique Controls

Navigator Selección de control

Lock-Multi-tactic technique selection

• Permite seleccionar una técnica o múltiples técnicas.

Search

• Permite buscar técnicas en la matriz, busca en los campos, nombre, ID y descripción.

Multi-select

• Proporciona una forma de seleccionar y deseleccionar rápidamente grupos de técnicas.
• La interfaz proporciona dos tipos de agrupaciones, grupos de amenazas y software.
• Los grupos de amenazas constituyen una actividad de intrusión relacionada con un nombre común.
• La capa software constituye, malware o utilidades que utilizan técnicas conocidas para la intrusión.

Deselect 1 techniques

• Borra comentarios / anotaciones realizadas en las técnicas y deshabilita todas las técnicas seleccionadas.

Layer Controls

Layer information

• El nombre, la descripción de la capa (táctica) se pueden editar en este menu desplegable. También se puede agregar metadata.

Download layer as JSON

• Permite descargar la táctica en formato JSON, para compartir o colaborar. 😀

Export to excel

• Permite descargar en formato EXCEL. Permaneciendo colores, comentarios, etc.

Render Layer to SVG

• Hace un renderizado en formato SVG, permite realizar una edición simple (re dimensionar la imagen, agregar texto, quitar o agregar más columnas) y la descargan en formato SVG.

Filters

• Filtros por plataforma (Windows, Linux, Mac, AWS, Azure, etc) o por etapa (preparar, actuar).

Color Setup

• Permite establecer un color de fondo a la táctica. La casilla mostrar debe estar seleccionada.

Show/Hide disabled

• Las técnicas que están deshabilitadas se pueden ocultar al alternar el botón “ocultar técnicas deshabilitadas”. Usar con la funcionalidad multiselect.

Technique Controls

Toggle State

• Se alternan las técnicas seleccionadas entre un estado habilitado y deshabilitado. En el estado deshabilitado, el texto de la técnica está atenuado y no se mostrarán colores (asignados manualmente o mediante puntuación).

Comment

• Permite agregar comentarios a las tecnicas seleccionadas, cuando el comentario es agregado se mostrara una línea de color amarillo.

Clear annotations on selected

• Remueve los comentarios o anotaciones realizados a la técnica.

¿Quieres saber cuál es el comportamiento de EMOTET?

Ejemplo de uso

1.- Elegimos la opción multiselect por software (Malware).

2.- Seleccionamos un color de fondo para diferencias las técnicas

Puedes seguir agregando más técnicas dando clic en ella.

3. Para ver el procedimiento, como se implementa/ejecuta la técnica, clic derecho en la técnica view technique

4. Inmediatamente serás enviado a una página en la que se muestra el detalle

5.- En esta página verás información de otros procedimientos que hacen uso de la técnica que estás analizando

6. Así recomendaciones para su mitigación

7. Así como la tecnología que puede ayudar a detectarla o debió detectar el comportamiento de los adversarios que estaban haciendo uso de la técnica. Así como referencias para profundizar más la investigación

8. Si deseas agregar comentarios, por ejemplo, para resaltar algún punto, técnica o para recordar que vas a cuestionar a tu equipo de seguridad, proveedores, compartir, etc.

• a. 1 Seleccionar la técnica en la que vas a comentar algo.
• b. 2 Dar clic en el botón de comentario y agregar las notas que quieras.

9.- Despues de haber ingresado los comentarios correspondientes estas listo para exportar a format SVG (icono de la camara). Antes recuerda jugar con los filtros.

10.- Formato Excel Para descargar en formato Excel, clic en el icono con forma de tabla. Si quieres cambiar el nombre de layer, por el de la técnica analizada. Doble clic en “Layer”

11. Fomato JSON, para compartirlo con otros equipos o para futuras referencias.

En resumen, MITRE ATT&CK Navigator es una valiosa herramienta para cualquier equipo de ciberseguridad, ya que proporciona una forma eficiente de navegar por la ATT&CK Matrix y aplicar ese conocimiento para mejorar la defensa contra las amenazas cibernéticas. Puedes acceder a la herramienta en el siguiente enlace: https://mitre-attack.github.io/attack-navigator/.