MITRE agrega MacOS, más tipos de datos a ATT & CK Framework



La versión 9 de la popular matriz de amenazas mejorará el soporte para una variedad de plataformas, incluida la infraestructura en la nube.

La organización de investigación sin fines de lucro MITRE ha lanzado la última versión de su marco ATT & CK, agregando soporte para información de amenazas que afectan a MacOS y contenedores de Apple, al tiempo que permite más fuentes de datos y relaciones.

El lanzamiento es una de las dos actualizaciones del preferred framework que se lanzarán este año, y se prevé otra para octubre. Los dos cambios más importantes son un mejor soporte tanto para MacOS como para los contenedores y la adopción de formas más flexibles de especificar los datos necesarios para describir cada técnica de amenaza. El lanzamiento incluye 16 nuevos grupos, 67 nuevas piezas de computer software y actualizaciones de otros 36 grupos y 51 entradas de computer software, según MITRE.

El objetivo es hacer que el marco sea más funcional, basado en comentarios específicos de su comunidad de usuarios, dice Adam Pennington, líder de ATT & CK en MITRE.

«La gente ve a ATT & CK como una forma de trazar y planificar sus defensas», dice. «Lo vemos utilizado como una forma para que las personas comiencen desde un área específica, como un adversario que les preocupa o algún subconjunto de un ataque, y echen un vistazo a cuál es su postura en relación con cada uno de esos comportamientos, o tal vez como una forma de planificar el análisis del comportamiento «.

En un weblog publicado el jueves, la organización de investigación declaró que la actualización está diseñada para conectar mejor las técnicas ofensivas con posibles acciones defensivas. La intención es etiquetar cada técnica en el marco de ATT & CK con «campos (y) propiedades centrados en la defensa como una forma de ayudar a los defensores a detectar y responder a los ataques.

La empresa había descrito las mejoras en su hoja de ruta para 2021, publicado en marzo. La organización declaró que no se realizarían ajustes estructurales importantes en cambio, MITRE planea realizar mejoras en todo el marco.

«Nuestro enfoque principal estará en mejorar y enriquecer el contenido en las plataformas y dominios técnicos de ATT & CK», declaró MITRE en su hoja de ruta. «Haremos actualizaciones incrementales a los conceptos centrales, como Software y Grupos, y trabajaremos hacia un proceso de contribuciones más estructurado, mientras mantenemos un ritmo de lanzamiento bianual, programado para abril y octubre».

Una iniciativa importante en la última versión es permitir que se recopilen mejores datos sobre descripciones de amenazas específicas incluidas en el marco de ATT & CK. La strategy es decirles a los defensores específicamente qué datos necesitan recopilar para detectar mejor a los atacantes y determinar qué técnicas están utilizando. MITRE revisó todas las diferentes fuentes de datos y componentes y los reasignó cuando fue necesario.

«El materials que la gente ve hoy no sufrirá otro cambio drástico. Simplemente agregaremos más contexto detrás de él», dice Pennington. «Se trata de tener una mejor concept de, con sus diversos mecanismos de recopilación, SIEM, sensores, lo que sea, lo que necesitan buscar para comprender el comportamiento de un adversario».

El marco de ATT & CK ahora también incluye más amenazas y asignaciones específicas de MacOS, dice. Las técnicas y los datos específicos de los sistemas basados ​​en Linux llegarán con la próxima actualización en octubre.

«Pasamos mucho tiempo en Home windows, al igual que los adversarios», dice Pennington. «Para Linux, escuchamos que suceden muchas cosas con los contenedores, pero no vemos un montón de detalles sobre lo que está sucediendo. Lo mismo con Mac. Escuchamos a la gente que hay mucha actividad, y estamos comenzando a incorporar eso en ATT & CK «.

MITRE también ha reunido las amenazas, técnicas y fuentes de datos para plataformas en la nube en grupos consolidados, como la plataforma de infraestructura como servicio (IaaS) como parte de la categoría más amplia de proveedores de servicios en la nube. Además, las ofertas de computer software como servicio (SaaS) Place of work 365 y Google Workspace no están incluidas, por lo que los defensores pueden mapear los comportamientos de los adversarios.

La empresa continúa realizando modificaciones en función de los comentarios. En octubre, la compañía lanzará más soporte para amenazas y defensas móviles, además de actualizar el enfoque de las amenazas que afectan los sistemas de control industrial.

En el futuro, ATT & CK también incorporará tecnologías de contenedores. MITRE ya ha lanzado ATT & CK para matriz de contenedores e incorporará comentarios para versiones futuras, dice la organización.

Nota del editor: este artículo se actualizó para corregir un error sobre cuándo se admitirá explícitamente Linux en el marco ATT & CK. El soporte de Linux está previsto para octubre.

Periodista tecnológico veterano de más de 20 años. Ex ingeniero de investigación. Escrito para más de dos docenas de publicaciones, incluidas CNET News.com, Dim Examining, MIT&#39s Know-how Assessment, Preferred Science y Wired Information. Cinco premios de periodismo, incluido el de Mejor fecha límite … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia initial