¿Cómo usas MITRE ATT&CK para una defensa informada por amenazas?
Respuesta breve
ATT&CK es una base de conocimiento de tácticas reales del adversario (el porqué), técnicas (el cómo) y procedimientos. La usas para mapear tus detecciones existentes sobre la matriz, identificar brechas de cobertura y priorizar las técnicas usadas por los actores que realmente atacan tu sector. Ofrece un lenguaje común entre CTI, ingeniería de detección e IR, convirtiendo «¿estamos seguros?» en un mapa de cobertura concreto y medible, impulsado por el comportamiento real del adversario.
MITRE ATT&CK es la lingua franca de la detección y la inteligencia de amenazas modernas. Los entrevistadores preguntan sobre él para ver si puedes llevar a un SOC de perseguir alertas aisladas a una defensa informada por amenazas deliberada y medible.
Qué es realmente ATT&CK
Es una base de conocimiento curada del comportamiento adversario observado, estructurada así:
- Tácticas — el objetivo del adversario en una etapa (el porqué): Acceso Inicial, Persistencia, Movimiento Lateral, Exfiltración, etc.
- Técnicas (y subtécnicas) — cómo logran ese objetivo, p. ej. T1059 Command and Scripting Interpreter.
- Procedimientos — las implementaciones concretas vistas en la práctica, ligadas a grupos de amenaza y software con nombre.
Como está construida a partir de incidentes reales, ancla la defensa en lo que los atacantes realmente hacen, no en la teoría.
Usarlo para la defensa
- Mapear detecciones sobre la matriz. Toma tus reglas SIEM/EDR existentes y coloca cada una sobre la técnica que detecta. El resultado es un mapa de calor de cobertura (el ATT&CK Navigator está hecho a propósito para esto).
- Encontrar las brechas. Las celdas vacías son puntos ciegos — técnicas que actualmente no puedes ver ni alertar.
- Priorizar con inteligencia de amenazas. No puedes cubrirlo todo, así que deja que la CTI decida el orden: ¿qué grupos atacan tu industria y qué técnicas prefieren? Cierra esas brechas primero.
- Impulsar el purple teaming y la ingeniería de detección. Prueba las técnicas priorizadas, escribe o ajusta detecciones y vuelve a probar para confirmar la cobertura.
- Hablar un solo idioma. CTI, ingenieros de detección, IR y red teams se refieren todos a los mismos identificadores de técnica, de modo que las transferencias no pierden nada.
Por qué supera a perseguir alertas
El trabajo del SOC alerta a alerta no tiene forma de responder «¿qué no podemos ver?». ATT&CK replantea la pregunta como cobertura medible frente al comportamiento real del adversario, de modo que la inversión es deliberada en lugar de reactiva.
Qué buscan los entrevistadores
Quieren la distinción táctica/técnica/procedimiento, el flujo mapear-luego-encontrar-brechas-luego-priorizar, la inteligencia de amenazas guiando la priorización, y ATT&CK como un lenguaje compartido entre funciones — no un producto que se compra.
Posibles preguntas de seguimiento
- ¿Cuál es la diferencia entre una táctica, una técnica y un procedimiento?
- ¿Cómo construirías un mapa de calor de cobertura ATT&CK para tu SOC?
- ¿Cómo determina la inteligencia de amenazas qué técnicas priorizas?