MITRE ATT&CK navigator framework
MITRE ATT&CK navigator framework

ATT&CK Navigator: Herramienta Inteligencia Cibernética

El equipo púrpura (Purple Team) siempre debe ser una emulación del adversario dirigida por la inteligencia. Si no lo es, entonces francamente no lo estás haciendo bien. Es difícil defenderse de algo que nunca has visto, y es inútil gastar recursos defendiendo contra algo que probablemente nunca verás.

No todos los equipos tienen la suerte de tener un presupuesto que cubra la inteligencia de amenazas (TI), por lo que aquí hay algo que puede hacer para recopilar tus propios datos de TI pre-púrpura.

Los equipos púrpuras existen para garantizar y maximizar la efectividad de los equipos rojo y azul. Las organizaciones a menudo emplean “Equipos Azules” (Blue Team), refiriéndose al equipo de seguridad interno encargado de defenderse contra ataques reales y simulados. El Equipo Rojo (Red Team) lanza un ataque aislado para explotar la red y proporcionar comentarios. (Explicaré más a detalle en un diccionario hacking que estoy creando…, pero estoy seguro que ya tienes una idea)

1. The ATT&CK Navigator: Un proyecto Open Source

El The ATT&CK Navigator proporciona navegación básica y anotaciones de las matrices ATT&CK for Enterprise, ATT&CK for Mobile, y el PRE-ATT&CK, algo que la gente ya está haciendo hoy en día en herramientas como Excel. Fue diseñado para ser simple y genérico.


Puedes usar el ATT&CK Navigator para visualizar tu cobertura defensiva, la planificación de tu equipo rojo/azul (red/blue team), la frecuencia de las técnicas detectadas o cualquier otra cosa que desees hacer. Al Navigator no le importa, solo te permite manipular las celdas de la matriz (mediante codificación de colores, agregando un comentario, asignando un valor numérico, etc.).

Una manera simple de encontrar qué grupos atacantes pueden estar apuntándote, y qué metodologías le son aplicables, es buscar palabras clave en la barra de bienvenida de la página principal, como tu industria. A continuación, busca Software como ejemplo.

Técnicas PRE-ATT&CK
Técnicas PRE-ATT&CK

Ahora sí, cuando llegues a la página de inicio del attack-navigator, se te presentará una lista bastante exhaustiva de Tácticas, Técnicas y Procedimientos (TTP) agrupados en una serie de categorías basadas en los tipos de ataque.

Interfaz de attack-navigator
Interfaz de attack-navigator

2. Ejemplo de ATT&CK Navigator

Veamos un ejemplo. Digamos que actuamos como una compañía de telecomunicaciones, se nos presenta inteligencia para informarnos que Deep Panda están particularmente activos en este momento, y queremos evaluar la probabilidad de enfrentar ataques con TTP específicos de este actor de amenaza.

Usando la herramienta múltiple (multi-select), desplázate hacia abajo y seleccione Deep Panda. Notará que todos los TTP conocidos por Deep Panda se harán más prominentes con un recuadro envolvente.

multi-select Deep Panda
multi-select Deep Panda

Hagamos eso aún más prominente y le daremos una puntuación de amenaza, con colores alineados. En la barra de búsqueda, dirígete a la paleta de pintura.


Para mí, el número 1 es un valor bajo, así que lo represento en mi paleta de colores. Siéntete libre de jugar con la configuración de color para satisfacer cualquier necesidad que puedas tener. Asegúrate de resaltar el cuadro ‘show‘ para que la configuración se refleje en tu trabajo.

Pintar y clasificar amenazas
Pintar y clasificar amenazas

Cambiaremos el nombre de la capa Layer, por Deep Panda y crearemos una nueva pestaña con otra amenaza. Por ejemplo, APT 28.

Nueva pestaña en ATT&CK Navigator
Nueva pestaña en ATT&CK Navigator

Después de una búsqueda rápida en el framework MITER ATT & CK y en Google, descubrimos que APT 28, aunque es notorio y prolífico, no es probable que nos encuentre un objetivo atractivo. Avancemos y demos una puntuación baja de 1. Queremos defendernos contra APT 28, pero no antes de defendernos contra Deep Panda. Realizamos, el mismo procedimiento.

Amenaza APT 28 en ATT&CK Navigator
Amenaza APT 28 en ATT&CK Navigator

Ahora todos los TTP APT 28 son grises, esto es una indicación del estado de prioridad (como ejemplo), pero puedes cambiar el color para satisfacer tus propias necesidades.
Ahora combinemos las 2 capas para que se presenten en la misma capa para una fácil visualización.

Agregue una nueva pestaña/capa y seleccione ‘Create Layer from other layers‘. Notará que nuestras dos capas tienen asignadas las etiquetas ‘a' y ‘b‘.

Ahora tienes la capacidad de agregar las dos capas juntas. Ambos grupos pueden usar los mismos TTP y debido a que no quiero que la prioridad de los TTP cambie visualmente, necesito agregar mis capas para reflejar esto.

Agrupar capas en ATT&CK Navigator
Agrupar capas en ATT&CK Navigator

Quiero que el TTP siga siendo crítico (morado) para mostrar que la infraestructura necesita endurecerse contra el TTP, por lo que agregare b + a, en lugar de a + b. Esto prioriza la configuración de amenazas de color de Deep Panda y presenta cualquier TTP utilizado por APT 28 Y Deep Panda como morado y no gris.

Se nos presenta la siguiente capa que muestra las diferencias en las metodologías entre los dos grupos.

Clasificar amanezas seguridad informática
Clasificar amanezas seguridad informática

Si deseas exportar este conjunto de datos, puedes hacerlo en formato JSON o exportarlo en Excel, aquí descargué la información en formato Excel.

ATT&CK Navigator exportado en Excel
ATT&CK Navigator exportado en Excel

Sin duda, gracias al increíble trabajo comunitario realizado por MITER ATT & CK, todos tenemos una gran cantidad de información fácilmente digerible sobre actores de amenazas conocidos al alcance de la mano. ¡Disfruta explorando!

Si te gusta el contenido y deseas apoyar a la mejora del sitio web, considera hacer una contribución ¡haciendo clic aquí por favor!. ¡NO ES OBLIGATORIO, GRACIAS! :’)

¿Te ha gustado este artículo? Sigue este blog en su fanpage de  FacebookTwitterInstagram y/o YouTube para que no te pierdas del mejor contenido informático y hacking!

Mi Carro Close (×)

Tu carrito está vacío
Ver tienda