UNIDAD 1 - Conociendo El Framework MITRE ATTCK - Profesor Sebastián Vargas

Tercer Ciclo 2022
FUNDAMENTOS DE
MITRE ATT&CK®
UNIDAD 1: Conociendo el framework MITRE ATT&CK®
Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Sebastián Vargas
Especialista en Gestión estratégica de Ciberseguridad y Defensa
de amenazas informadas:
• AttackIQ Informed Defenders Champion

• Certified Ethical Hacker (Practical) from EC-Council
• ATT&CK® Adversary Emulation Methodology Certification
• ATT&CK® Cyber Threat Intelligence Certification from Mitre-
Engenuity
• Center for Threat-Informed for Threat-Informed Defense Research
AttackIQ
• Intermediate Breach & Attack Simulation MITRE ATT&CK AttackIQ
• Intermediate MITRE ATT&CK AttackIQ
• Intermediate Purple Teaming AttackIQ
https://www.linkedin.com/in/mgsebastianvargasyanez/

Grupo oficial:
https://t.me/+u3kGMuUn1_4wZGUx
3


Trayectoria profesional Especializaciones
Presidente de Fundación Sociedad Chilena de Seguridad de la información EC-COUNCIL - Certified Ethical Hacker (CEH) Practical
ELEARN SECURITY - Elearn Junior Penetration Testing
ATT&CK® Cyber Threat Intelligence Certification.
Jefe del Departamento del Coordinador Eléctrico Nacional ATT&CK® Adversary Emulation Fundamentals.
ATT&CK® Security Operations Center Assessment Analysis Badge.
Director Académico y docente – Diplomado Ciberseguridad OT – Diplomado Blueteam –– Capacitación Usach ATT&CK® Security Operations Center Assessment Fundamentals.
ATT&CK® Cyber Threat Intelligence from Narrative Reporting.
Docente posgrado Universidad Católica de Chile ATT&CK® Cyber Threat Intelligence from Raw Data.
ATT&CK® Cyber Threat Intelligence Storage and Analysis
Ex Jefe de CSIRT Redbanc, Ex CISO del INE, ex asesor del Palacio de la Moneda entre otros. ATT&CK® Cyber Threat Intelligence Defense Recommendations
ATT&CK® Fundamentals
Hack by Security - Digital Forensic & Incident Response
Trayectoria curricular ICSI | CNSS Certified Network Security Specialist

Kaspersky Cybersecurity Fundamentals Certified
Kaspersky Incidente Response
AttackIQ Foundational Blueprints
Doctorando en Socioformación y Sociedad de la información –CIFE (En curso) AttackIQ Extending ATT&CK with ATT&CK Workbench
AttackIQ Foundations of Breach & Attack Simulation
Master en Ciberseguridad Industrial – CCI (En curso) AttackIQ Foundations of Operationalizing MITRE ATT&CK
Master en Ciberseguridad, Ciberterrorismo y Ciberguerra – UTP (En curso) AttackIQ Foundations of Operationalizing MITRE ATT&CK
AttackIQ Foundations of Purple Teaming
Magíster en Gestión de Tecnologías de la información - UOI AttackIQ Intro to FIN6 Emulation Plans
AttackIQ Introduction to EASY Framework for Intelligence
Diplomado en Gerencia de Seguridad de la información - UAI AttackIQ Leveraging Breach and Attack Simulation to Operationalize MITRE ATT&CK
AttackIQ Mapping MITRE ATT&CK to CVE for Impact
Diplomatura Estrategia de ciberseguridad e inteligencia en cibercrimen - UNSTA AttackIQ menuPass Emulation Plan Execution
Diplomatura en Ciberdelincuencia - UNSTA AttackIQ MITRE ATT&CK Security Stack Mappings: AWS
AttackIQ Strategic Cybersecurity Management
Ingeniero Civil en informática - INACAP AttackIQ Threat-Informed Architecture

AttackIQ Uniting Threat and Risk Management with NIST 800-53 & MITRE ATT&CK
Licenciado en ciencias de la ingeniería - INACAP Purple Team Academy Foundations of Threat Hunting
Purple Team Academy Fundamentals of Modern Log Management Practices
Ingeniero en Ciberseguridad - CIISA Purple Team Academy MITRE ATT&CK #1 - Process Injection
Purple Team Academy MITRE ATT&CK #2 - PowerShell
Ingeniero en informática - INACAP Purple Team Academy MITRE ATT&CK #3 - OS Credential Dumping
1st Dan internacional Taekwondo ITF Purple Team Academy MITRE ATT&CK #4 - Masquerading
Purple Team Academy MITRE ATT&CK #5 - Windows Command Shell
Curso oficial CISSP – ICS2 2021 Purple Team Academy MITRE ATT&CK #8 - Registry Run Keys / Startup Folde
Purple Team Academy MITRE ATT&CK #9 - System Information Discovery
Curso Universidad de Colorado Homeland Security and_Security 2020 Purple Team Academy The Absolute Beginners Guide to MITRE ATT&CK
Certiprof Certified ISO 22.301 Foundation
Curso oficial CEHV10- EC-COUNCIL 2018 Certiprof Certiprof_Lifelong Learning
Curso oficial PMP – PMI 2017 CertiProf Cyber Security Foundation Professional Certificate - CSFPC™
Certiprof DevOps Essentials Professional Certificate - DEPC©
Curso oficial CISM – ISACA 2017 Certiprof Kanban Foundation - KIKFT

Certiprof Lead Cybersecurity Professional Certificate - LCSPCT
Certiprof Remote Work and Virtual Collaboration Professional Certificate - RWVCPC
Certiprof Scrum Foundation Professional Certificate – SFPC
Capacitación Usach – Auditor Líder 27.001
Capacitación Usach - Certificado en Gobierno y Gestión TI usando COBIT 2019
5

Ayudante del curso
Luis Araneda V.
Oracle Cloud Infraestructure Tech Architect y Profesional Cloud.
Actualmente cursando ingeniería informática y Computación en la

Universidad Andrés Bello, poseedor de un diploma avanzado en TI
con mención en seguridad en redes, así como diversos cursos en
Informática Forense, Seguridad de la Información, Ciberseguridad y
otros.
Apasionado de la tecnología, ha trabajado desde soporte técnico
/in/luis-araneda-ba07499/ hasta arquitectura de sistemas.
Estudiante de la Seguridad de la Información, Ciberseguridad, la
Arquitectura Cloud y la Ciencia de Datos.

Objetivos del curso
Este curso busca el desarrollo de capacidades teóricas y técnicas en

MITRE ATT&CK ®, la cual es una base de conocimiento accesible a nivel
mundial de tácticas y técnicas del adversario basadas en observaciones
del mundo real.
La base de conocimientos de ATT&CK se utiliza como base para el

desarrollo de metodologías y modelos de amenazas específicas
aplicables en el sector privado, en el gobierno y en la comunidad de
productos y servicios de ciberseguridad.

Fechas del curso
Martes y Jueves (16, 18, 23 y 25 de Agosto)
Horarios: 19:30 hrs a 22:00 hrs

(GMT-4) Hora de Chile

Evaluación de la certificación de fundamentos
• 40 Preguntas alternativas
• 4 días para realizar la prueba
• 1 intento
• Con nota 55 se logra la certificación

Unidades:
• UNIDAD 1: Conociendo el framework MITRE ATT&CK®

• UNIDAD 2: Matrices MITRE ATT&CK®
• UNIDAD 3: Implementación de Laboratorio
• UNIDAD 4: Ejecución de pruebas de emulación
10

¿Qué es ATT&CK?
¿Qué son las “tácticas”?
¿Qué son las “técnicas”?
¿Qué son las “subtécnicas”?
¿Qué son los “procedimientos”?
¿Qué son los “Adversarios”?
¿Qué son los “Software”?
¿Cuáles son las diferencias entre subtécnicas y procedimientos?
¿A qué tecnologías se aplica ATT&CK?
¿Cómo puedo usar ATT&CK?
11

UNIDAD 2: Matrices MITRE ATT&CK®
Uso de Matrices Enterprise en redes TI
Uso de Matrices ICS en redes TO
Uso de Matrices Cloud
Uso de MITRE D3FEND
Uso de Attack Navigator
Uso de Engage
Uso de Mitre CAR

12

UNIDAD 3: Implementación de Laboratorio
Implementación de LAB CON:
KALI LINUX
WINDOWS 11
UBUNTU 20.04 LTS
Configuración de conectividad
Planificación de los ejercicios
13

UNIDAD 4: Ejecución de pruebas de emulación
Despliegue de pruebas con MITRE CALDERA™ la cual una plataforma de ciberseguridad

diseñada para automatizar fácilmente la emulación de adversarios, ayudar a los equipos
rojos manuales y automatizar la respuesta a incidentes.
Despliegue de pruebas con Atomic Red Team permite a todos los equipos de seguridad
poner a prueba sus controles mediante la ejecución de sencillas “pruebas atómicas”
que ejercitan las mismas técnicas utilizadas por los adversarios Lecciones aprendidas – -
ATT&CK Mitigaciones
14

FUNDAMENTOS DE MITRE ATT&CK®

¿QUÉ CONOCES DE
MITRE ATT&CK®
16

Ecosistema del cibercrimen
Fuente: https://itblogr.com/tier-of-threat-actors-cheatsheet/ 17

Fuente: https://www.nicybersecuritycentre.gov.uk/cyber-threats 18

Fuente: https://content.fireeye.com/m-trends/rpt-m-trends-2021 19


SCF Domains: Security & Privacy by Design (S|P) Principles

Diferencia entre CWE ,CVE y CAPEC
Fuente: https://auditoriadecodigo.com/realizando-una-auditoria-de-codigo-tercera-parte/
22

Detección de amenazas y la pirámide del dolor
Fuente: https://www.criticalstart.com/threat-detection-and-the-pyramid-of-pain/
23

Defensa informada sobre amenazas

La "defensa informada sobre amenazas" aplica un profundo conocimiento
del arte y la tecnología del adversario para proteger, detectar y mitigar los
ciberataques. Es un enfoque basado en la comunidad para un desafío
mundial.
Fuente: https://attack.mitre.org/
24

¿Qué es el Adversarial Tactics, Techniques,

and Common Knowledge MITRE ATT&CK®?
La "defensa informada sobre amenazas" aplica un profundo conocimiento
del arte y la tecnología del adversario para proteger, detectar y mitigar los
MITRE ATT&CK® es
ciberataques. Esuna base de basado
un enfoque conocimientos accesible para
en la comunidad a nivel
unmundial
desafío sobre
las tácticas
mundial.y técnicas de los adversarios, basada en observaciones del mundo
real. La base de conocimientos ATT&CK se utiliza como base para el desarrollo
de modelos y metodologías de amenazas específicas en el sector privado, en el
gobierno y en la comunidad de productos y servicios de ciberseguridad.
25

¿Por qué MITRE ha desarrollado ATT&CK?
El objetivo de FMX era investigar el uso

de datos de telemetría de puntos finales
y análisis para mejorar la detección de
MITRE inició ATT&CK en 2013 para
Se creó a partir de la necesidad de adversarios que operan dentro de las
documentar las tácticas, técnicas y
documentar los comportamientos de los redes empresariales después de un
procedimientos (TTP) comunes que las
adversarios para utilizarlos en un ataque. ATT&CK se utilizó como base
amenazas persistentes avanzadas utilizan
proyecto de investigación de MITRE para probar la eficacia de los sensores y
contra las redes empresariales de
llamado FMX. los análisis en el marco de FMX y sirvió
Windows.
como lenguaje común que tanto el
ataque como la defensa podían utilizar
para mejorar con el tiempo.
26

MITRE ATT&CK® Framework

MITRE ATT&CK se creó en 2013 como resultado del Experimento Fort
Meade (FMX) de MITRE, donde los investigadores emularon el
comportamiento del adversario y del defensor en un esfuerzo por mejorar la
detección de amenazas posterior al compromiso a través de la detección de
telemetría y el análisis del comportamiento.
La pregunta clave para los investigadores fue "¿Qué tan bien estamos
detectando el comportamiento adversario documentado?" Para responder a esa
pregunta, los investigadores desarrollaron ATT&CK, que se utilizó como
herramienta para categorizar el comportamiento del adversario.
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html
27


El modelo de comportamiento presentado por ATT&CK contiene los siguientes componentes básicos:
Tácticas que denotan objetivos tácticos a corto plazo del adversario durante un
ataque (las columnas);
Técnicas que describen los medios por los cuales los adversarios logran
objetivos tácticos (las células individuales); y
Uso documentado del adversario de técnicas y otros metadatos (vinculados a

técnicas).
28


MITRE ATT&CK ahora tiene tres iteraciones:
ATT&CK para ATT&CK para

ATT&CK para ICS
empresas móviles
• Se enfoca en el • Se centra en el • Se enfoca en
comportamiento comportamiento describir las
adversario en adversario en los acciones que un
entornos Windows, sistemas adversario puede
Mac, Linux y Cloud. operativos iOS y tomar mientras
Android. opera dentro de
una red ICS.
29

¿Qué hay en la matriz MITRE ATT&CK?
La matriz MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los

adversarios para lograr un objetivo específico. Esos objetivos se clasifican como
tácticas en la Matriz ATT&CK.
Los objetivos se presentan linealmente desde el punto de reconocimiento hasta el

objetivo final de exfiltración o "impacto".
Al observar la versión más amplia de ATT&CK para empresas, que incluye

Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS,
IaaS, Network y Containers.
30

¿Qué hay en la matriz MITRE ATT&CK?
La matriz MITRE ATT&CK contiene un conjunto de técnicas utilizadas por los

adversarios para lograr un objetivo específico. Esos objetivos se clasifican como
tácticas en la Matriz ATT&CK.
Los objetivos se presentan linealmente desde el punto de reconocimiento hasta el

objetivo final de exfiltración o "impacto".
Al observar la versión más amplia de ATT&CK para empresas, que incluye

Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS,
IaaS, Network y Containers.
31

Fuente-Imagen: https://medium.com/cycraft/cycraft-classroom-mitre-att-ck-vs-cyber-kill-chain-vs-diamond-model-1cc8fa49a20f
32

1)Reconocimiento:
Recopilación de
información para planificar
futuras operaciones del
adversario, es decir,
información sobre la
organización objetivo.
https://null-byte.wonderhowto.com/how-to/hack-like-pro-
advanced-nmap-for-reconnaissance-0151619/
33

2)Desarrollo de recursos:
Establecer recursos para

apoyar las operaciones, es
decir, establecer una
infraestructura de comando y
control.
34

3)Acceso inicial:
Intentar ingresar a su red, es

decir, spear phishing
Fuente imagen: https://latam.kaspersky.com/blog/que-es-el-spear-phishing/12177/
35

4)Ejecución:
Intentar ejecutar código

malicioso, es decir, ejecutar una
herramienta de acceso remoto.
Fuente imagen: https://www.pcrisk.es/guias-de-desinfeccion/9184-svchost-exe-virus
36

5)Persistencia : Tratar de mantener su punto de apoyo, es decir,

cambiar configuraciones.
Fuente imagen: https://www.incibe-cert.es/blog/veni-vidi-vici-malware-fichero
37

6)Escalada de privilegios: Tratar de obtener permisos de nivel superior,

es decir, aprovechar una vulnerabilidad para elevar el acceso.
38

7)Evasión de defensa :Tratar de evitar ser detectado, es decir, usar procesos

confiables para ocultar malware.
Fuente imagen: https://www.huntress.com/blog/the-mechanics-of-defense-evasion
39

8) Acceso con credenciales: Robo de nombres de cuentas y contraseñas, es decir,

registro de teclas.
Fuente: https://www.avast.com/es-es/c-keylogger
40

9) Descubrimiento: Tratando de descubrir su entorno, es decir, explorando lo que

pueden controlar.
Fuente imagen: https://www.r-studio.com/unformat-disk/
41

10)Movimiento lateral: Moverse a través de su entorno, es decir, usar

credenciales legítimas para pivotar a través de múltiples sistemas.
Fuente: https://malware.news/t/lateral-movement-what-it-is-and-how-to-block-it/30648
42

11)Recopilación: Recopilación de datos de interés para el objetivo del

adversario, es decir, acceso a datos en el almacenamiento en la nube.
Fuente: https://beaglesecurity.com/blog/article/man-in-the-middle-attack.html
Fuente: https://www.trellix.com/en-us/security-awareness/cybersecurity/what-is-mitre-attack-framework.html 43

12)Comando y control: Comunicarse con sistemas comprometidos para controlarlos,

es decir, imitar el tráfico web normal para comunicarse con una red víctima.
Fuente de imagen: https://miro.medium.com/max/901/1*YUOZow7DDxS0RHeG6c_Okw.png

Fuente de imagen: https://beaglesecurity.com/blog/article/man-in-the-middle-attack.html
44

13) Exfiltración : Robar datos, es decir, transferir datos a una cuenta en la nube
Fuente de imagen: https://www.mindpointgroup.com/blog/conducting-and-detecting-data-exfiltration
45

14)Impacto: Manipular, interrumpir o destruir sistemas y datos, es decir, cifrar

datos con ransomware.
Fuente de imagen: https://www.researchgate.net/figure/An-example-scenario-of-a-Locky-ransomware-attack-anatomy_fig4_335024682
46


Vista completa
1-Reconocimiento : recopilación de 2-Desarrollo de recursos : establecer
información para planificar futuras recursos para apoyar las 4-Ejecución : intentar ejecutar 5-Persistencia : tratar de mantener
3-Acceso inicial : intentar ingresar a
operaciones del adversario, es decir, operaciones, es decir, establecer una código malicioso, es decir, ejecutar su punto de apoyo, es decir, cambiar
su red, es decir, spear phishing
información sobre la organización infraestructura de comando y una herramienta de acceso remoto configuraciones
objetivo. control
6-Escalada de privilegios : tratar de 7-Evasión de defensa : tratar de 10-Movimiento lateral : moverse a

8-Acceso con credenciales : robo de 9-Descubrimiento : tratando de
obtener permisos de nivel superior, evitar ser detectado, es decir, usar través de su entorno, es decir, usar
nombres de cuentas y contraseñas, descubrir su entorno, es decir,
es decir, aprovechar una procesos confiables para ocultar credenciales legítimas para pivotar a
es decir, registro de teclas explorando lo que pueden controlar
vulnerabilidad para elevar el acceso malware través de múltiples sistemas
12-Comando y control : comunicarse

11-Recopilación : recopilación de
con sistemas comprometidos para 13-Exfiltración : robar datos, es 14-Impacto : manipular, interrumpir
datos de interés para el objetivo del
controlarlos, es decir, imitar el decir, transferir datos a una cuenta o destruir sistemas y datos, es decir,
adversario, es decir, acceso a datos
tráfico web normal para en la nube cifrar datos con ransomware
en el almacenamiento en la nube
comunicarse con una red víctima
47

UNIDAD 1: Conociendo el framework MITRE ATT&CK® Vista completa
Las diferencias entre PRE-ATT&CK y ATT&CK Enterprise

PRE-ATT&CK y ATT&CK Enterprise se combinan para
formar la lista completa de tácticas que en términos
generales se alinean con la cadena de ataque
informático. PRE-ATT&CK se alinea principalmente
con las primeras tres fases de la cadena de ataque:
reconocimiento, armamentización y entrega.
ATT&CK Enterprise se alinea de buena manera con
las cuatro fases finales de la cadena de ataque:
explotación, instalación, comando & control, y
acciones en objetivos.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful
48

¿Qué es una técnica?

Las técnicas representan "cómo" un adversario logra un objetivo táctico al
realizar una acción.
EJEMPLO:
ID: T1053 Scheduled Task/Job

6 Subtécnicas
Tactics: Execution, Persistence, Privilege Escalation
Los adversarios pueden abusar de la funcionalidad de programación de

tareas para facilitar la ejecución inicial o recurrente de código malicioso.
Existen utilidades en los principales sistemas operativos para programar
programas o scripts que se ejecuten en una fecha y hora determinadas.
49

¿Qué es una técnica?

Las subtécnicas son una descripción más específica del comportamiento
adversario utilizado para lograr un objetivo. Describen el comportamiento a un
nivel inferior al de una técnica.
EJEMPLO:
ID: T1053.005 Scheduled Task/Job: Scheduled Task
Platforms: Windows
Permissions Required: Administrator
Los adversarios pueden abusar del Programador de Tareas de Windows para realizar la
programación de tareas para la ejecución inicial o recurrente de código malicioso. Hay
varias formas de acceder al Programador de Tareas en Windows. La utilidad schtasks
puede ejecutarse directamente en la línea de comandos, o el Programador de Tareas
puede abrirse a través de la interfaz gráfica de usuario dentro de la sección Herramientas
del Administrador del Panel de Control.
50

¿Qué es un procedimiento?
Los procedimientos son la implementación específica que el adversario utiliza
para las técnicas o subtécnicas.
EJEMPLO:
schtasks /create /tn "mysc" /tr C:\Users\Public\test.exe /sc ONLOGON /ru "System"
APT38 has used Task Scheduler to run programs at system startup or on a scheduled
basis for persistence
Dragonfly has used scheduled tasks to automatically log out of created accounts
every 8 hours as well as to execute malicious files
Emotet has maintained persistence through a scheduled task
51

¿Qué es un grupo?
Los grupos son conjuntos de actividades de intrusión relacionadas que se rastrean con un
nombre común en la comunidad de seguridad. Los analistas rastrean grupos de actividades
utilizando varias metodologías analíticas y términos como grupos de amenazas, grupos de
actividades, actores de amenazas, conjuntos de intrusiones y campañas.
EJEMPLO:
ID: G0082 APT38 es un grupo de amenazas patrocinado por el estado de Corea del Norte que
se especializa en operaciones cibernéticas financieras; se ha atribuido a la Oficina General de
Reconocimiento[1]. Activo desde al menos 2014, APT38 ha atacado bancos, instituciones
financieras, casinos, intercambios de criptomonedas, puntos finales del sistema SWIFT y
cajeros automáticos en al menos 38 países de todo el mundo.
Associated Groups: NICKEL GLADSTONE, BeagleBoyz, Bluenoroff, Stardust Chollima,

Lazarus Group
52

¿Qué es un software?
Software es un término genérico para código personalizado o comercial, utilidades del sistema
operativo, software de código abierto u otras herramientas utilizadas para realizar
comportamientos modelados en ATT&CK. Algunas instancias de software tienen múltiples
nombres asociados con la misma instancia debido a que varias organizaciones rastrean el
mismo conjunto de software con diferentes nombres.
EJEMPLO: S0239 Bankshot es una herramienta de acceso remoto (RAT) que fue reportada por
primera vez por el Departamento de Seguridad Nacional en diciembre de 2017. En
2018, Lazarus Group usó el implante Bankshot en ataques contra el sector
financiero turco.
Tipo : MALWARE
Plataformas : Windows
53

¿Qué es una mitigación?

Las mitigaciones representan conceptos de seguridad y clases de tecnologías que se pueden
usar para evitar que una técnica o subtécnica se ejecute con éxito.
EJEMPLO:
M1036 Políticas de uso de la cuenta
• Configure funciones relacionadas con el uso de la cuenta, como bloqueos de intentos de

inicio de sesión, tiempos de inicio de sesión específicos, etc.
M1040 Prevención de comportamiento en Endpoint
• Utilice capacidades para evitar que se produzcan patrones de comportamiento
sospechosos en los sistemas de punto final. Esto podría incluir un proceso sospechoso, un
archivo, una llamada a la API, etc. comportamiento.
M1052 Control de cuentas del usuario
• Configure el Control de cuentas de usuario de Windows para mitigar el riesgo de que los
adversarios obtengan un acceso elevado al proceso.
54

Relaciones del modelo de objetos de ATT&CK

Relaciones del modelo de objeto ATT&CK Cada componente de alto nivel de ATT&CK está
relacionado de alguna manera con otros componentes. Las relaciones descritas en los campos
de descripción de la sección anterior se pueden visualizar en un diagrama:
EJEMPLO:
55

Usos comunes de matriz MITRE ATT&CK®?

¿Cómo se usa la matriz MITRE ATT&CK®?

El marco MITRE ATT&CK puede ayudar a una organización de varias maneras.
En general, los siguientes son beneficios aplicables a la adopción de MITRE
ATT&CK:
1)Emulación de adversario: Evalúa la seguridad aplicando

inteligencia sobre un adversario y cómo opera para emular una
amenaza. ATT&CK se puede usar para crear escenarios de
emulación de adversarios para probar y verificar las defensas.
57

¿Cómo se usa la matriz MITRE ATT&CK?

ATT&CK:
2)Red Teaming: Actúa como adversario para demostrar el impacto

de una brecha. ATT&CK se puede utilizar para crear planes de
equipo rojo y organizar operaciones.
58


ATT&CK:
3) Desarrollo de análisis de comportamiento: Vincula la actividad

sospechosa para monitorear la actividad del adversario. ATT&CK
se puede utilizar para simplificar y organizar patrones de actividad
sospechosa considerada maliciosa.
59


ATT&CK:
4)Evaluación de brechas defensivas: Determina qué partes de la

empresa carecen de defensas y/o visibilidad. ATT&CK se puede
utilizar para evaluar las herramientas existentes o probar nuevas
herramientas antes de la compra, para determinar la cobertura de
seguridad y priorizar la inversión.
60


ATT&CK:
5)Evaluación de madurez de SOC: Similar a la Evaluación de

brechas defensivas, ATT&CK se puede usar para determinar qué
tan efectivo es un centro de operaciones de seguridad (SOC) para
detectar, analizar y responder a las infracciones.
61


ATT&CK:
6)Enriquecimiento de inteligencia de amenazas cibernéticas:

Mejora la información sobre amenazas y actores de
amenazas. ATT&CK permite a los defensores evaluar si pueden
defenderse contra amenazas persistentes avanzadas (ATP)
específicas y comportamientos comunes entre múltiples actores
de amenazas.
62

¿Cómo podríamos usarlo?

ATT&CK puede ser útil para cualquier organización que desee avanzar hacia una defensa
informada sobre amenazas, por lo que queremos compartir ideas sobre cómo comenzar
independientemente de lo sofisticado que sea su equipo. Dividiremos cada una de estas
publicaciones en diferentes niveles:
Nivel 1 Para aquellos que recién comienzan y que pueden no tener muchos
recursos.
Nivel 2 para aquellos que son equipos de nivel medio que comienzan a
madurar.
Nivel 3 Para aquellos con equipos y recursos de ciberseguridad más

avanzados.
63

¿Cómo podríamos usarlo?

Nivel 1 Para aquellos que recién comienzan y que pueden no tener muchos recursos.
• La inteligencia sobre amenazas cibernéticas consiste en saber qué hacen sus adversarios y utilizar esa
información para mejorar la toma de decisiones.
• Para una organización con solo un par de analistas que quiere comenzar a usar ATT&CK para la inteligencia
de amenazas, una forma de comenzar es tomando un solo grupo que le importa y observando sus
comportamientos estructurados en ATT&CK.
https://www.linkedin.com
/in/mgsebastianvargasyan
Ejemplo:
ez/
Grupos cibercriminales
Para Sector financiero.
Fuente: https://medium.com/mitre-attack
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f 64

Nivel 2 para aquellos que son equipos de nivel medio que comienzan a madurar.
Ejemplo: aquí hay un fragmento de un informe de FireEye que se ha asignado a ATT&CK.
Si tiene un equipo de analistas de
amenazas que revisan regularmente la
información sobre los adversarios, una
acción de siguiente nivel que puede tomar
es mapear la inteligencia de ATT&CK usted
mismo en lugar de usar lo que otros ya han
mapeado.
Si tiene un informe sobre un incidente en el

que ha funcionado su organización, esta
puede ser una excelente fuente interna
para asignar a ATT&CK, o puede usar un
informe externo como una publicación de
blog. Para facilitar esto, puede comenzar
con un solo informe.
Ilustración: Katie Nickels 2019 - Getting Started with ATT&CK: Threat Intelligence
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
65

Nivel 3 Para aquellos con equipos y recursos de ciberseguridad más avanzados.
Si su equipo CTI es avanzado, puede comenzar a asignar más información a ATT&CK, y luego usar esa
información para priorizar cómo defiende. Tomando el proceso anterior, puede asignar información interna y
externa a ATT&CK, incluidos datos de respuesta a incidentes, informes de OSINT o suscripciones de inteligencia
de amenazas, alertas en tiempo real e información histórica de su organización.
Ejemplo: Puede hacer algunas cosas interesantes para comparar grupos y

priorizar las técnicas de uso común. Por ejemplo, tome esta vista
de matriz del navegador ATT&CK que compartí anteriormente
con técnicas que hemos mapeado en el sitio web de
ATT&CK. Las técnicas utilizadas solo por APT3 están resaltadas
en azul; los usados solo por APT29 están resaltados en amarillo,
y los usados por APT3 y APT29 están resaltados en verde.
Fuente: https://medium.com/mitre-attack/getting-started-with-attack-cti-4eb205be4b2f
66

ATT&CK Use Cases Adversary Emulation

El proceso de evaluar la seguridad de un dominio de tecnología mediante la aplicación de
inteligencia sobre amenazas cibernéticas sobre adversarios específicos y cómo operan para emular
esa amenaza.
Ejemplo:
La emulación de adversario se centra en la
capacidad de una organización para verificar la
detección y / o La mitigación de ATT&CK se
puede usar como una herramienta para crear
escenarios de emulación de adversarios para
probar y verificar defensas contra técnicas
adversas comunes.

Defensive Gap Assessment

El proceso de evaluar la seguridad de un dominio de tecnología mediante la aplicación de
inteligencia sobre amenazas cibernéticas sobre adversarios específicos y cómo operan para emular
esa amenaza.
Estas brechas representan puntos ciegos
para vectores potenciales que permiten que
un adversario obtenga acceso a sus redes
sin ser detectado o sin mitigar. ATT&CK
https://www.linkedin.com puede ser Las brechas identificadas son útiles
/in/mgsebastianvargasyanez/
como una forma de priorizar las inversiones
para la mejora de un programa de
seguridad.
También se pueden compilar productos de
seguridad similares.

SOC Maturity Assessment

El centro de operaciones de seguridad de una organización es un componente crítico de muchas
redes de empresas medianas y grandes que monitorean continuamente las amenazas activas contra
la red.
Comprender la madurez de un SOC es
importante para determinar su efectividad.
ATT&CK puede ser utilizado como una medida
De manera similar a la evaluación de brechas
defensivas, una evaluación de madurez de
SOC se centra en los procesos que utiliza un
SOC para detectar, comprender y responder a
las amenazas cambiantes a su red a lo largo
del tiempo.

Simulación adversaria y ATT&CK

Probar las técnicas de ATT&CK en comparación con el entorno es la mejor manera de llevar a cabo
las siguientes acciones:
Probar los controles y su eficacia
Garantizar la cobertura contra diferentes técnicas
Comprender las brechas en visibilidad o protección
Validar la configuración de herramientas y sistemas
Demostrar dónde diferentes actores tendrían éxito o serían capturados en el entorno
Evitar suposiciones con los controles gracias al conocimiento exacto de qué se detecta o mitiga, y qué no

Desafíos cuando se utiliza ATT&CK

El uso de ATT&CK no está libre de desafíos. Es bueno tener esto en cuenta cuando se utiliza ATT&CK.
•No todas las técnicas son siempre maliciosas

• Ejemplo: Datos de la unidad compartida de la red (T1039)
• Clave para la detección: ¿Cómo se aplica esta técnica?
•No todas las técnicas son fáciles de detectar
• Ejemplo: Enlace de fraude electrónico (T1192)
• Clave para la detección: Otros eventos relacionados con la
recepción de correos electrónicos
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful 71

Desafíos cuando se utiliza ATT&CK

El uso de ATT&CK no está libre de desafíos. Es bueno tener esto en cuenta cuando se utiliza ATT&CK.
•Algunas técnicas tienen muchos métodos de ejecución posibles

• Ejemplo: Vertido de credenciales (T1003)
• Clave para la detección: Desarrolle métodos conocidos de aplicación de la técnica y
etiquételos como Vertido de credenciales
• MITRE lanzará subtécnicas para ayudar a abordar esto
•Algunas técnicas se incluyen en diversas tácticas
• Ejemplo: Secuestro de orden de búsqueda de DLL (T1038)
• Se muestra en las tácticas de persistencia, escalamiento de privilegios y evasión de
defensa
• Algunas técnicas, como esta, se pueden utilizar para varios casos de uso y son útiles en
varias etapas de ataque

Recursos y herramientas de ATT&CK


A continuación, se muestra una lista de herramientas y otros recursos que utilizan ATT&CK.
•El mejor lugar para comenzar con ATT&CK es siempre la página web de
ATT&CK de MITRE.
•https://attack.mitre.org/
•MITRE mantiene un blog sobre ATT&CK en Medium.

•https://medium.com/mitre-attack
•Existe una convención de seguridad dedicada a ATT&CK.

•https://www.mitre.org/attackcon


ATT&CK Navigator
ATT&CK Navigator es una gran herramienta
para usar en el mapeo de controles respecto
a las técnicas de ATT&CK. Se pueden agregar
capas que muestren controles de detección
específicos, controles preventivos o, incluso,
comportamientos observados. Navigator se
puede utilizar en línea para crear
simulaciones o situaciones rápidas, o bien se
puede descargar e instalar internamente
como una solución más permanente.
ATT&CK Navigator de MITRE

Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful https://github.com/mitre/attack-navigator 75


Hoja de ayuda de registro de
ATT&CK en Windows de Malware
Archeology
La bondadosa Malware Archeology
proporciona varias hojas de ayuda de
registro de Windows para asistir a los
defensores en su búsqueda de
actividades maliciosas en los registros.
Tienen una dedicada a la búsqueda de
técnicas de ATT&CK de MITRE. Ejemplo de detalles incluidos en la hoja de ayuda
de registro de ATT&CK de Malware Archeology
https://github.com/uber-common/metta


Metta de Uber es un proyecto de
recurso abierto de Uber que realiza una
simulación adversaria y está alineado
con ATT&CK de MITRE.
Metta es un proyecto de
recurso abierto de Uber
que realiza una simulación
adversaria y está alineado
con ATT&CK de MITRE. https://github.com/uber-common/metta

Caldera de MITRE
Caldera es una
herramienta de simulación
adversaria automatizada
de recurso abierto que se
basa en ATT&CK de
MITRE.
https://github.com/mitre/caldera
Atomic Red Team de Red Canary

Atomic Red Team es una
herramienta de recurso
abierto de Red Canary para
simular comportamientos
adversarios mapeados en
ATT&CK de MITRE. Más
información disponible en:
https://atomicredteam.io/
https://github.com/redcanaryco/atomic-red-team
Red Team Automation de

Endgame
Red Team Automation es una
herramienta de recurso
abierto de Endgame que
prueba el comportamiento
malicioso modelado en
ATT&CK de MITRE.
Fuente: https://www.anomali.com/es/resources/what-mitre-attck-is-and-how-it-is-useful https://github.com/endgameinc/RTA 80

Cyber Analytics Repository

(CAR) de MITRE
MITRE tiene un recurso
llamado Cyber Analytics
Repository (CAR) que es un
sitio de referencia con varios
análisis útiles para detectar
comportamientos en ATT&CK https://car.mitre.org/
de MITRE.

Tableau de ATT&CK mediante Cyb3rPanda
Cyb3rPanda
cargó ATT&CK en
una instancia
pública de
Tableau en un
formato dinámico Fuente: https://public.tableau.com/profile/cyb3rpanda#!/vizhome/MITREATTCKMatrixforEnterpriseV2/ATTCK?publish=yes
fácil de filtrar.
Visualizador de guías de Unit 42 de Palo Alto

El grupo Unit 42 de Palo
Alto lanzó un visor de
guía gratuito que muestra
comportamientos
adversarios conocidos de
varios grupos de
amenazas alineados con
ATT&CK de MITRE.
https://pan-unit42.github.io/playbook_viewer/

 Mg. Ing. Sebastián Vargas
 sebastian.vargas.y@usach.cl

Tercer Ciclo 2022
FUNDAMENTOS DE
MITRE ATT&CK®

UNIDAD 1 - Conociendo El Framework MITRE ATTCK - Profesor Sebastián Vargas

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

UNIDAD 1 - Conociendo El Framework MITRE ATTCK - Profesor Sebastián Vargas

Cargado por

Copyright:

Formatos disponibles

Tercer Ciclo 2022

UNIDAD 1: Conociendo el framework MITRE ATT&CK®

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

• AttackIQ Informed Defenders Champion

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Trayectoria curricular ICSI | CNSS Certified Network Security Specialist

Ingeniero Civil en informática - INACAP AttackIQ Threat-Informed Architecture

Curso oficial CISM – ISACA 2017 Certiprof Kanban Foundation - KIKFT

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Actualmente cursando ingeniería informática y Computación en la

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Este curso busca el desarrollo de capacidades teóricas y técnicas en

La base de conocimientos de ATT&CK se utiliza como base para el

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Martes y Jueves (16, 18, 23 y 25 de Agosto)

Horarios: 19:30 hrs a 22:00 hrs

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

• UNIDAD 1: Conociendo el framework MITRE ATT&CK®

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

¿Qué son las “tácticas”?

¿Qué son las “técnicas”?

¿Qué son las “subtécnicas”?

¿Qué son los “procedimientos”?

¿Qué son los “Adversarios”?

¿Qué son los “Software”?

¿Cuáles son las diferencias entre subtécnicas y procedimientos?

¿A qué tecnologías se aplica ATT&CK?

¿Cómo puedo usar ATT&CK?

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Uso de Matrices Enterprise en redes TI

Uso de Matrices ICS en redes TO

Uso de Matrices Cloud

Uso de MITRE D3FEND

Uso de Attack Navigator

Uso de Mitre CAR

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Implementación de LAB CON:

UBUNTU 20.04 LTS

Planificación de los ejercicios

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Despliegue de pruebas con MITRE CALDERA™ la cual una plataforma de ciberseguridad

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

FUNDAMENTOS DE MITRE ATT&CK®

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Ecosistema del cibercrimen

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Ecosistema del cibercrimen

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Ecosistema del cibercrimen

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Ecosistema del cibercrimen

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

SCF Domains: Security & Privacy by Design (S|P) Principles

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Diferencia entre CWE ,CVE y CAPEC

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Detección de amenazas y la pirámide del dolor

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

Defensa informada sobre amenazas

Profesor: Mg. Sebastián Vargas - https://www.linkedin.com/in/mgsebastianvargasyanez/

¿Qué es el Adversarial Tactics, Techniques,