Definición y propósito

El ATT&CK Framework tiene como objetivo describir y categorizar las acciones que los adversarios pueden tomar después de haber comprometido y obtenido acceso a los sistemas. Proporciona una comprensión detallada de las acciones del atacante, organizadas en matrices de tácticas (objetivos) y técnicas (cómo se logran esos objetivos). Al tener esta información, las organizaciones pueden comprender mejor el panorama de amenazas, ajustar sus defensas en consecuencia y llevar a cabo una respuesta a incidentes más efectiva.

Órgano de Gobierno

MITRE Corporation, una organización sin fines de lucro que opera centros de investigación y desarrollo patrocinados por el gobierno de EE. UU., es el órgano de gobierno del ATT&CK Framework.

Última actualización

La actualización más reciente se publicó en abril de 2023.

Aplica a

El MITRE ATT&CK Framework es independiente de la industria y es aplicable a cualquier organización o entidad interesada en comprender el comportamiento de los adversarios cibernéticos y mejorar su postura de ciberseguridad. Esto incluye agencias gubernamentales, empresas del sector privado, instituciones académicas y profesionales de la ciberseguridad de todas las industrias.

Controles y requisitos

El ATT&CK Framework no es un marco de control en el sentido tradicional. En su lugar, organiza la información en matrices de tácticas (columnas) y técnicas (filas). Algunas de las tácticas incluyen:

• Acceso Inicial
• Ejecución
• Persistencia
• Escalada de Privilegios
• Evasión de Defensa
• Acceso a Credenciales
• Descubrimiento
• Movimiento Lateral
• Colección
• Exfiltración
• Impacto

Bajo cada táctica hay múltiples técnicas que los adversarios podrían emplear para lograr esa táctica. Cada técnica incluye información detallada, ejemplos y mitigaciones.

Por favor, consulte la documentación oficial de MITRE ATT&CK para una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

El Marco ATT&CK de MITRE es principalmente un modelo descriptivo en lugar de un conjunto prescriptivo de requisitos. Como tal, no se utiliza directamente para auditorías. Sin embargo, las organizaciones pueden usarlo como referencia o base para ejercicios de equipo rojo, caza de amenazas u otras evaluaciones de seguridad.

Dado que el marco en sí no es un estándar de cumplimiento, no hay una frecuencia establecida para evaluaciones o auditorías basadas en él. Sin embargo, la frecuencia de actividades relacionadas (como los ejercicios de equipo rojo o la caza de amenazas) variará según el programa de seguridad específico y la tolerancia al riesgo de una organización.