MITRE no es solo una empresa que compara las soluciones de seguridad, se trata de una organizaci\u00f3n sin \u00e1nimo de lucro cuya misi\u00f3n es crear un mundo m\u00e1s seguro. Cualquier persona que tenga alg\u00fan tipo de conocimiento sobre el mundo de la ciberseguridad sabr\u00e1 que se le conoce principalmente por su base de datos de vulnerabilidades (CVE por sus siglas en ingl\u00e9s). Hace alg\u00fan tiempo, la empresa fue un paso m\u00e1s all\u00e1 y cre\u00f3 la matriz de amenazas MITRE ATT&CK (T\u00e1cticas, T\u00e9cnicas y Conocimiento Com\u00fan de Adversarios).<\/p>\n
B\u00e1sicamente, MITRE ATT&CK es una base abierta de conocimiento que abarca t\u00e9cnicas usadas en ataques dirigidos de diversos actores. La informaci\u00f3n se presenta en forma de matriz, lo que proporciona una descripci\u00f3n de c\u00f3mo los atacantes penetran y se afianzan en una infraestructura corporativa, los trucos que utilizan para pasar desapercibidos, etc. Se trata de una matriz de amenazas a nivel empresarial, pero MITRE tambi\u00e9n trabaja en matrices que abarcan las t\u00e1cticas que usan los ciberdelincuentes en sus ataques contra dispositivos m\u00f3viles y sistemas de control industrial.<\/p>\n
No obstante, MITRE ATT&CK no solo recopila informaci\u00f3n por el bien del conocimiento. Est\u00e1 destinado a simplificar la construcci\u00f3n de modelos de amenazas para diversas industrias y, sobre todo, puede usarse para determinar qu\u00e9 amenazas conocidas puede detectar una soluci\u00f3n espec\u00edfica o una combinaci\u00f3n de soluciones. En teor\u00eda, este es el proceso: una empresa en busca de una soluci\u00f3n para proteger su infraestructura compara las habilidades de cada candidato con la matriz de ATT&CK y comprueba qu\u00e9 amenazas contin\u00faan. Se parece un poco al bingo. En la pr\u00e1ctica, con el fin de entender qu\u00e9 amenazas identifica un producto de seguridad en particular, MITRE realiza pruebas conocidas como evaluaciones de ATT&CK.<\/p>\n
Los investigadores de MITRE eligen un actor de APT conocido y a lo largo de varios d\u00eda emulan los ataques en el ambiente de prueba de la soluci\u00f3n que est\u00e1n evaluando; pero, como es natural, no ejecutan r\u00e9plicas id\u00e9nticas de ataques anteriores. En su lugar, modifican las herramientas de ataques individuales para hallar de qu\u00e9 modo la soluci\u00f3n detecta varias t\u00e9cnicas de adversarios durante las fases de un ataque. Los mecanismos de respuesta se desactivan durante la evaluaci\u00f3n (de otro modo, ser\u00eda imposible probar algunas fases).<\/p>\n
El ciclo actual de pruebas se llama Evaluaci\u00f3n APT29. En esta evaluaci\u00f3n, los investigadores simulan los esfuerzos del grupo APT29<\/a> (en ingl\u00e9s), tambi\u00e9n conocido como CozyDuke, Cozy Bear y The Dukes. He aqu\u00ed un art\u00edculo detallado acerca de las evaluaciones de ATT&CK<\/a> (en ingl\u00e9s).<\/p>\n El ciclo m\u00e1s reciente prob\u00f3 nuestra soluci\u00f3n Kaspersky Endpoint Detection y el servicio Kaspersky Managed Protection. Puedes leer m\u00e1s acerca de la configuraci\u00f3n espec\u00edfica en este art\u00edculo<\/a> (en ingl\u00e9s).<\/p>\nPrueba de productos y sus resultados<\/h2>\n