La matriz de MITRE: tácticas y técnicas en entornos industriales

La organización MITRE ha desarrollado una matriz para el seguimiento y análisis de los incidentes detectados en el mundo industrial que recopila gran parte de las tácticas, técnicas y procedimientos utilizados. En este artículo se pretende describir el contenido de dicha matriz.

El proyecto ATT&CK, presentado en 2013, pretendía ser un estándar para describir y categorizar comportamientos de los atacantes y clasificar los mismos en tácticas, técnicas y procedimientos. Actualmente, el proyecto cuenta con varias matrices para diferentes ámbitos, donde se recopilan diferentes tácticas y técnicas dependiendo del tema abordado. Las matrices se basan en tácticas, que son métodos utilizados para alcanzar un objetivo específico; y técnicas, que definen la forma de realizar acciones o estrategias concretas para alcanzar diferentes objetivos definidos dentro de cada táctica. Ambas poseen un identificador único asociado que permite hacer una referencia a ellas sin generar dudas.

- Distribución de las tácticas y técnicas dentro de una matriz de MITRE (SCI). Fuente: MITRE. -

Entre las matrices, además de la relacionada con Sistemas de Control Industrial, pueden consultarse otras que también aportan información de interés:

• PRE-ATT&CK – Matriz que recopila las tácticas y técnicas detectadas en algunos ataques y que guardan estrecha relación con las dos primeras fases (reconocimiento y preparación) de la taxonomía de ataque propuesta por Loocked Martin (Cyber Kill Chain). Podría decirse que en esta matriz se recopilan los trabajos previos al ataque.
• Enterprise – Relacionada con ataques en entornos corporativos. Dado que los entornos corporativos evolucionan tanto como la tecnología que se despliega dentro de los mismos, se han creado diferentes submatrices dependiendo del sistema operativo (Windows, macOS y Linux) y algunas tecnologías como la Cloud (AWS, GCP, Azure, Office 365, Azure AD, SaaS).
• Mobile – MITRE ha incorporado dentro de sus matrices dos específicas para tratar dispositivos móviles, una relacionada con el acceso a dispositivos, y otra para efectos originados en la red que pueden ser utilizados por adversarios sin acceso a dispositivos. Se han definido para sistemas iOS y Android.

Posibles usos de las matrices

Dado que las matrices pretenden ser una base de conocimiento sobre los comportamientos ejecutados por los atacantes, todos sus usos se centran en la explotación de este conocimiento. Tanto a nivel ofensivo, como defensivo, las matrices proporcionan gran información. A nivel ofensivo podrían utilizarse para acciones como:

• Tareas de pentesting. Dado que en la matriz se recopilan una serie de técnicas a las que, en algunos casos, se les asocian herramientas, muchos investigadores de ciberseguridad pueden aprovecharse de toda la información recopilada para reproducir la técnica de ataque, usar las herramientas que se describen y escribir en sus informes la vulnerabilidad detectada haciendo referencia a la técnica aplicada.
• Equipos de Red team. Tanto a nivel de formación, como para la descripción de tareas a nivel ofensivo, las matrices proporcionan a estos equipos una información a seguir que puede transformarse en una metodología. Esta información puede utilizarse para simular o emular ataques de grupos criminales con el objetivo de probar las medidas defensivas desplegadas en las organizaciones o como entrenamiento para equipos defensivos.
  Además, el uso de las tácticas y técnicas elaboradas por MITRE permite un intercambio de información sobre ataques, controles defensivos y grupos o actores ofensivos organizado. Este intercambio garantiza el entendimiento entre organizaciones y equipos de Red team a la hora de planificar acciones que podrían tener algún impacto en la producción si lo enfocamos a nivel industrial.
  Algunas herramientas que permiten el desarrollo de las actividades anteriormente comentadas son:
  • MITRE Caldera
  • Uber Metta
  • Red Team Automation (RTA) de Endgame
  • Atomic Red Team de Red Canary

Por su parte, a nivel defensivo las matrices permiten:

• Detección de comportamientos anómalos y búsqueda de amenazas (Threat Intelligence). Al poseer los comportamientos de otros ataques previos, actores o grupos organizados de criminales, los equipos defensivos pueden ser capaces de asociar comportamientos y explotaciones propias de ciertos atacantes. Por ejemplo, a nivel industrial pueden consultarse diferentes casos de malware conocidos como Industroyer o Crashoverride, de los que ya hablamos en CrashOverride: el malware para SCI ataca de nuevo.
• Construcción de medidas a nivel defensivo. Gracias al conocimiento obtenido de los diferentes ataques, los equipos defensivos pueden desplegar soluciones defensivas mejor afinadas con el objetivo de entorpecer las posibles acciones ofensivas. Entre estas soluciones, a nivel industrial, se podría hablar sobre rediseño de las redes incorporando dispositivos como cortafuegos, IDS, etc., uso de soluciones SIEM para la recopilación y correlación de información, etc.
• Mejora de equipos defensivos. Equipos defensivos como Blue team o personal de un SOC IT/OT, pueden beneficiarse mucho de los conocimientos proporcionados por las matrices, ya que les permitirá mejorar en su operativa llegando a ser más eficientes y trabajando, más aún si cabe, la colaboración entre el personal que integra los equipos.

Matriz SCI

Aunque esta matriz no posee gran madurez, dado que ha sido compartida por la comunidad hace poco tiempo, sigue en constante evolución, además de suponer una gran fuente de información para poder ejecutar algunas tareas relacionadas con los ciberataques y su defensa.

Una de las grandes diferencias que posee esta matriz con la matriz general de MITRE tiene que ver con las tácticas que incorpora, ya que son específicas para entornos industriales. Se incorporar las siguientes 11:

• Initial Access – El atacante intenta acceder al entorno industrial.
• Execution – El atacante intenta ejecutar código malicioso.
• Persistence – El atacante intenta mantener la comunicación con la red industrial a través de puertas traseras o comunicaciones ofuscadas.
• Evasion – El atacante intenta no ser detectado cuando ejecuta acciones maliciosas.
• Discovery – El atacante intenta detectar el mayor número de activos dentro de la red industrial para seleccionar su objetivo.
• Lateral Movement – El atacante intenta comprometer otros activos presentes en la red industrial partiendo de un activo ya comprometido con el objetivo de acceder a otras redes, atacar sistemas de difícil acceso, etc.
• Collection – El atacante intenta obtener toda la información posible y que resulte de interés para la ejecución de sus acciones maliciosas en el entorno industrial.
• Command and Control – El atacante intenta comunicarse a través de servidores que se encuentran en su poder con activos comprometidos dentro de la red industrial para enviar órdenes concretas y así ejecutar acciones maliciosas.
• Inhibit Response Function – El atacante intenta evitar la activación de funciones de seguridad y protecciones físicas, la ejecución de acciones legítimas por parte de los operadores frente a problemas, fallos o estados de seguridad incorrectos.
• Impair Process Control – El atacante intenta manipular, deshabilitar o dañar los procesos de control físicos existentes a nivel industrial dentro de la organización atacada.
• Impact – El atacante intenta que el ataque ejecutado tenga cierta repercusión en el proceso industrial interrumpiendo el mismo, alterando los datos para que su funcionamiento no sea el correcto, destruyendo algunos activos de importancia, etc.

Es importante destacar que algunos entornos TI forman una base importante para SCI. Por ello, algunas de las tácticas y técnicas que aplican en estos entornos no pueden ser ignoradas. En la matriz de ATT&CK para SCI, se intentan incluir sobre todo técnicas de la matriz Enterprise utilizadas contra sistemas que aprovechen etapas finales y que, gracias a su explotación, originan algún tipo de impacto contra el proceso industrial. De este modo, pueden detectarse tácticas que guardan cierta relación con la matriz Enterprise, pero que cambian su enfoque a un entorno industrial y lo mismo ocurre con las técnicas utilizadas, que son específicas para ejecutar en entornos industriales o han sido adaptadas dadas las características de estos entornos.

Por ejemplo, el uso de esta técnica Network Sniffing – T842, relacionada con la táctica Discovery, permitiría detectar buena parte de los activos presentes en la red industrial de manera pasiva.

Por último, en lo que respecta a los diferentes ataques de carácter industrial, MITRE ha elaborado una base de conocimiento sobre los diferentes grupos de atacantes y malware específico desarrollado para entornos industriales. En dicha base de conocimiento pueden consultarse tanto las técnicas que suelen utilizar los grupos de atacantes más conocidos a nivel industrial, como las técnicas y tácticas utilizadas en los diferentes ataques como Flame, Duqu, Triton, Stuxnet, etc.

Conclusión

El conocimiento sobre tácticas y técnicas de ataque en el sector industrial aporta un gran valor para la comunidad de expertos en material de ciberseguridad, tanto a nivel ofensivo como defensivo. Por ello, es importante que se siga trabajando en diferentes líneas a futuro para:

• Afinar más la descripción de las técnicas.
• Sectorizar, aún más si cabe, las tácticas y técnicas ya que, dependiendo del sector, en muchas ocasiones, tanto atacantes, como defensores se encuentran con protocolos y dispositivos diferentes.
• Aportar más medidas defensivas para la detección de algunas técnicas o para evitar la explotación de las mismas.