Introducción

En el escenario digital actual, la ciberseguridad se ha convertido en una prioridad ineludible para organizaciones y gobiernos. Dos enfoques prominentes para comprender y contrarrestar las amenazas cibernéticas son el Modelo Diamante y el framework MITRE ATT&CK. Ambos proporcionan perspectivas valiosas sobre las tácticas, técnicas y procedimientos de los adversarios, pero difieren en su enfoque y alcance. En este artículo, exploraremos las características fundamentales de cada modelo y cómo pueden converger para fortalecer la postura de ciberseguridad.

El Modelo Diamante

Centrado en el adversario (Caltagirone et al., 2013), se erige como una estructura para describir relaciones de alto nivel; en su núcleo establece que, cualquier actividad maliciosa se compone de cuatro elementos principales: Adversario, Capacidad, Infraestructura y Víctima (Hutchins & Sistrunk, 2015), como puede verse en la figura 1. Esta perspectiva amplia permite comprender la complejidad de las intrusiones, reconociendo que los adversarios pueden ser individuos maliciosos, actores de amenaza externos, grupos de amenaza u organizaciones. Además, se destaca la importancia de analizar la infraestructura utilizada por los atacantes, que va más allá de los sistemas informáticos tradicionales y se extiende a elementos como nombres de dominio, dispositivos USB y cuentas comprometidas.

Nota. Tomado de Caltagirone y otros (2013).

Si bien no solo se limita a identificar los elementos clave de una actividad maliciosa, sino que también subraya la interconexión y las relaciones dinámicas entre ellos. Al profundizar en la figura del adversario, se revela una capa adicional de complejidad: la diversidad de motivaciones, tácticas y estrategias que pueden adoptar.

De allí se analiza la categoría «Capacidad» donde se destacan las herramientas y técnicas específicas que un adversario despliega durante un evento, desde métodos básicos, como la fuerza bruta, hasta tácticas más avanzadas como la instalación de puertas traseras para establecer el control. Además, la infraestructura utilizada para facilitar estas capacidades es un componente crítico del Modelo Diamante, incluyendo elementos tangibles e intangibles, como servidores de almacenamiento de malware, nombres de dominio intrigantes y dispositivos USB comprometidos (Hutchins, Cloppert, & Amin, 2011).

Estas relaciones multifacéticas se entrelazan en una danza digital que requiere una comprensión integral para contrarrestar con eficacia las amenazas cibernéticas en evolución constante. Podemos decir entoces que el Modelo Diamante va más allá de simplemente describir los aspectos básicos de un incidente; proporciona un marco integral para entender la complejidad subyacente y las relaciones dinámicas que impulsan la actividad maliciosa en el ciberespacio.

MITRE ATT&CK: Desglosando las Tácticas, Técnicas y Procedimientos

Por otro lado, el framework MITRE ATT&CK se enfoca en documentar Tácticas, Técnicas y Procedimientos (TTP) comunes empleados por amenazas avanzadas contra redes empresariales. Este enfoque proporciona una visión detallada de las motivaciones tácticas de los adversarios y cómo aplican técnicas específicas para lograr sus objetivos. Las Tácticas representan el «porqué» de una técnica, mientras que las Técnicas detallan el «cómo». Desde la ejecución y persistencia hasta el control y comando, este marco proporciona un mapa detallado de las acciones y estrategias utilizadas por los adversarios. (The MITRE Corporation, 2022)

El framework MITRE ATT&CK se erige como un faro en la oscuridad del ciberespacio, desglosando las tácticas, técnicas y procedimientos empleados por amenazas avanzadas. Las «Tácticas» representan el motivo fundamental detrás de una técnica o subtecnica particular. Este nivel estratégico proporciona una comprensión esencial del porqué un adversario elige una acción específica, otorgando a los defensores de la ciberseguridad una visión más profunda de las intenciones detrás de cada movimiento. Desde la ejecución inicial hasta la persistencia en el entorno, estas tácticas revelan los objetivos tácticos que impulsan las acciones de los adversarios.

En el nivel táctico, las «Técnicas» detallan el «cómo» de la ejecución de una táctica. Este nivel operativo ofrece una visión más detallada de las acciones específicas que los adversarios toman para lograr sus objetivos tácticos (The MITRE Corporation, 2022). Por ejemplo, el uso de ejecuciones maliciosas, técnicas de evasión de defensas, descubrimiento de información y exfiltración de datos son técnicas específicas que conforman el conjunto de herramientas de los adversarios. Este desglose detallado proporciona una comprensión técnica, así como también facilita la creación de defensas más específicas y efectivas, ya que los defensores pueden diseñar contramedidas específicas para contrarrestar las tácticas y técnicas específicas utilizadas por amenazas avanzadas. En resumen, MITRE ATT&CK no solo documenta las acciones de los adversarios, sino que proporciona una hoja de ruta detallada que puede guiar a los profesionales de la ciberseguridad hacia una postura más resistente y proactiva.

Convergencia de Enfoques

Aunque el Modelo Diamante y MITRE ATT&CK abordan la ciberseguridad desde ángulos diferentes, su convergencia puede proporcionar una visión más completa. El Modelo Diamante destaca las relaciones y componentes fundamentales de las intrusiones, mientras que MITRE ATT&CK profundiza en las tácticas y técnicas específicas utilizadas por los adversarios. Al combinar estos enfoques, las organizaciones pueden desarrollar estrategias más robustas para prevenir, detectar y responder a amenazas cibernéticas. La comprensión de la infraestructura utilizada por los adversarios según el Modelo Diamante puede informar la aplicación de tácticas y técnicas específicas del MITRE ATT&CK, mejorando así la preparación y la capacidad de respuesta.

Conclusiones

En última instancia, el Modelo Diamante y MITRE ATT&CK son herramientas valiosas en la caja de herramientas de la ciberseguridad y la ciberdefensa. Mientras que el primero establece una base sólida para comprender las relaciones en las intrusiones, el segundo proporciona un desglose táctico detallado. Utilizados en conjunto, estos enfoques ofrecen una visión integral que capacita a las organizaciones para anticipar y contrarrestar las amenazas cibernéticas con mayor eficacia. En un mundo donde la sofisticación de los ataques sigue en aumento, la colaboración de estos modelos se presenta como una estrategia clave para la seguridad digital.

Referencias Bibliográficas

Caltagirone, S., Pendergast, A. & Betz, C. (2013). Diamond Model of Intrusion Analysis,” Center for Cyber Threat Intelligence and Threat Research, Technical Report ADA586960. https://www.threatintel.academy/diamond/

Hutchins, E. M., Cloppert, M. J., & Amin, R. M. (2011). Intelligence-driven computer network defense informed by analysis of adversary campaigns and intrusion kill chains. Sixth International Conference on Information Assurance and Security (IAS). www.lockheedmartin.com/content/dam/lockheed-martin/rms/documents/cyber/LM-White-Paper-Intel-Driven-Defense.pdf

Hutchins, E., & Sistrunk, R. (2015). ATT&CK, dread, moose, stride, pride and other word-based cyber threat models. 2015 IEEE European Symposium on Security and Privacy (EuroS&P).

The MITRE Corporation. (2022). ATT&CK® Navigator. https://attack.mitre.org/

Schwarzkopf, D. (2018). Adversarial tactics, techniques, and common knowledge (ATT&CK™). Journal of Cyber Security and Mobility, 7(2), 17-34.