Attack Flow: Visualizar Secuencias de Técnicas ATT&CK
Guía de MITRE Attack Flow: herramienta para visualizar y documentar secuencias de técnicas ATT&CK como diagramas de flujo. Cómo crear Attack Flows para informes de incidentes, threat intelligence y ejercicios de red team.
Attack Flow convierte un listado de técnicas ATT&CK en una narrativa visual del ataque
MITRE ATT&CK Navigator muestra QUÉ técnicas se usaron (heatmap). Attack Flow muestra EN QUÉ ORDEN, con qué decisiones y qué dependencias. Es la diferencia entre una lista de ingredientes y una receta. Para informes de incidentes, threat intel reports y ejercicios de red team, Attack Flow comunica la cadena de ataque de forma intuitiva.
Conceptos
Nodos de Attack Flow
| Nodo | Función | Ejemplo |
|---|---|---|
| Action | Técnica ATT&CK ejecutada | "T1566.001: Spearphishing Attachment" |
| Asset | Sistema/recurso afectado | "Workstation WKST-042" |
| Condition | Decisión/branch en el flujo | "Si credenciales obtenidas → lateral movement" |
| Operator | Lógica (AND/OR) | "Requiere AMBOS: creds + network access" |
Ejemplo visual
[Phishing Email]
│
▼
[User Opens Attachment] ──(T1204.002)
│
▼
[Macro Executes PowerShell] ──(T1059.001)
│
▼
[Cobalt Strike Beacon] ──(T1071.001)
│
├── [Credential Dump LSASS] ──(T1003.001)
│ │
│ ▼
│ ┌─── [Domain Admin creds?] ───┐
│ │ YES │ NO
│ ▼ ▼
│ [PsExec to DC] [Kerberoasting]
│ (T1021.002) (T1558.003)
│ │ │
│ ▼ ▼
│ [DCSync all hashes] [Crack offline]
│ (T1003.006) (T1110.002)
│ │ │
│ └───────┬───────────────┘
│ ▼
├── [Exfiltrate to MEGA] ──(T1567.002)
│
▼
[Delete Shadow Copies] ──(T1490)
│
▼
[Deploy LockBit] ──(T1486)
Herramienta: Attack Flow Builder
Web app: https://center-for-threat-informed-defense.github.io/attack-flow/ui/
Funcionalidades:
- Drag & drop de nodos (actions, conditions, assets)
- Conectar nodos con flechas direccionales
- Asignar técnicas ATT&CK a cada action
- Exportar como STIX 2.1, JSON, SVG, PNG
- Importar flows existentes de la librería
Librería de Attack Flows
El Center for Threat-Informed Defense publica flows pre-hechos para ataques documentados:
| Attack Flow | Adversario | Tipo |
|---|---|---|
| SolarWinds Supply Chain | APT29 | Supply chain + espionaje |
| Colonial Pipeline | DarkSide | Ransomware |
| Ukraine Power Grid | Sandworm | ICS + destructivo |
| NotPetya | Sandworm | Wiper disfrazado de ransomware |
| Uber Breach (2022) | Lapsus$ | Social engineering + MFA fatigue |
Casos de uso
| Caso | Audiencia | Valor |
|---|---|---|
| Informe de incidente | IR team, management | Visualizar cadena completa del ataque |
| Threat intelligence report | CTI consumers | Comunicar TTP de un actor |
| Red team debrief | Purple team | Documentar la operación ejecutada |
| Threat modeling | Security architecture | Planificar defensas por fase |
| Training/awareness | Nuevos analistas | Enseñar cadenas de ataque reales |
| Presentación a dirección | CISO, Board | Comunicar un incidente de forma visual |
Formato STIX 2.1
Attack Flow usa STIX 2.1 como formato nativo, lo que permite:
- Importar/exportar a plataformas CTI (OpenCTI, MISP)
- Compartir flows entre organizaciones (ISACs, CERTs)
- Versionado y tracking de cambios
- Machine-readable para automatización
Conclusión
Attack Flow añade la dimensión temporal y lógica que ATT&CK Navigator no tiene. Para cualquier informe que necesite mostrar "cómo ocurrió el ataque paso a paso", Attack Flow es la herramienta indicada. La librería de flows pre-hechos es un recurso educativo excelente. PENDIENTE: ampliar con tutorial paso a paso de creación de flow.
Fuentes y referencias
- Center for Threat-Informed Defense: Attack Flow
- MITRE: "Attack Flow: Beyond the Matrix" (2023)
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.