Carcará y Herramientas MITRE de Automatización CTI
Panorama de herramientas MITRE para automatización de CTI: Carcará (threat intel automation), ATT&CK Data Sources, Sightings Ecosystem, y cómo el ecosistema MITRE se integra para threat intelligence operacional.
El ecosistema MITRE ofrece un conjunto integrado de herramientas que cubren el ciclo completo de threat intelligence
Más allá de ATT&CK, D3FEND y las herramientas individuales, MITRE y el Center for Threat-Informed Defense mantienen un ecosistema de proyectos que se integran para automatizar y operacionalizar la inteligencia de amenazas. Este artículo mapea el ecosistema completo.
Mapa del ecosistema MITRE
┌─────────────────────┐
│ ATT&CK │ Base de conocimiento
│ (tácticas, técnicas,│ de adversarios
│ grupos, software) │
└─────────┬───────────┘
│
┌───────────────────┼───────────────────┐
│ │ │
┌───────▼───────┐ ┌───────▼───────┐ ┌───────▼───────┐
│ D3FEND │ │ ATLAS │ │ ENGAGE │
│ (defensas) │ │ (AI attacks) │ │ (deception) │
└───────────────┘ └───────────────┘ └───────────────┘
│
┌───────┼───────────────────────────────────────┐
│ │ │
│ HERRAMIENTAS DE ANÁLISIS │
│ ┌─────────┐ ┌─────────┐ ┌─────────┐ │
│ │Navigator│ │ TRAM │ │Decider │ │
│ │(visual) │ │(NLP map)│ │(guided) │ │
│ └─────────┘ └─────────┘ └─────────┘ │
│ ┌──────────┐ ┌────────────┐ ┌──────────┐ │
│ │Workbench │ │Attack Flow │ │ Top │ │
│ │(custom) │ │(sequences) │ │Techniques│ │
│ └──────────┘ └────────────┘ └──────────┘ │
│ │
│ HERRAMIENTAS DE VALIDACIÓN │
│ ┌─────────┐ ┌────────────┐ │
│ │CALDERA │ │Evaluations │ │
│ │(emulate)│ │(EDR test) │ │
│ └─────────┘ └────────────┘ │
│ │
│ PROYECTOS DE DATOS │
│ ┌───────────┐ ┌──────────────┐ │
│ │Data │ │Sightings │ │
│ │Sources │ │Ecosystem │ │
│ └───────────┘ └──────────────┘ │
└───────────────────────────────────────────────┘
Proyectos del Center for Threat-Informed Defense
ATT&CK Data Sources
Mapeo detallado de qué datos (telemetría) necesitas para detectar cada técnica:
Técnica: T1003.001 (LSASS Memory)
Data Sources:
- Process: OS API Execution (Sysmon Event 10)
- Process: Process Access (GrantedAccess to lsass.exe)
- Command: Command Execution (procdump.exe, comsvcs.dll)
- File: File Creation (dump files .dmp)
Esto permite responder: "¿qué telemetría necesito para detectar LSASS dump?" sin buscar en múltiples fuentes.
Sightings Ecosystem
Proyecto para compartir observaciones (sightings) de técnicas ATT&CK entre organizaciones. Cuando tu SOC detecta T1059.001 (PowerShell), puedes reportar el sighting al ecosistema. La agregación de sightings de múltiples organizaciones produce datos reales de frecuencia.
Mapping Projects
| Proyecto | Qué mapea | Resultado |
|---|---|---|
| NIST 800-53 → ATT&CK | Controles NIST a técnicas | Qué controles NIST cubren qué ataques |
| CIS Controls → ATT&CK | CIS Safeguards a técnicas | Qué controles CIS cubren qué ataques |
| CVE → ATT&CK | Vulnerabilidades a técnicas | Qué técnicas habilita cada CVE |
| Security Stack → ATT&CK | Productos a técnicas | Qué cubre cada herramienta |
Threat Actor Profiles
Perfiles de emulación detallados para uso con CALDERA:
- APT29 (2 evaluaciones: 2019 y 2023)
- APT3
- FIN6
- Sandworm
- Wizard Spider + Sandworm
- Turla
Cada perfil incluye: cadena de ataque completa, commands específicos, variantes, y cleanup procedures.
Flujo integrado: del informe al test
1. INFORME DE CTI publicado (Mandiant, CrowdStrike, etc.)
│
├── TRAM extrae técnicas ATT&CK automáticamente
│
├── Decider refina el mapping manualmente
│
├── Attack Flow visualiza la secuencia
│
├── Navigator muestra cobertura actual vs técnicas del informe
│
├── Top Techniques prioriza qué detectar primero
│
├── D3FEND identifica defensas para los gaps
│
├── Workbench documenta las decisiones
│
└── CALDERA valida que las defensas detectan las técnicas
│
└── Evaluations benchmarkea tu EDR contra adversarios similares
Cuándo usar cada herramienta
| Necesidad | Herramienta | Alternativa |
|---|---|---|
| "Quiero mapear este informe a ATT&CK" | TRAM (automático) | Decider (manual guiado) |
| "Quiero ver qué cubro y qué no" | Navigator | DeTT&CT |
| "Quiero visualizar la cadena de ataque" | Attack Flow | Diagrams.net manual |
| "Quiero priorizar qué detectar" | Top Techniques | Risk-based manual |
| "Quiero saber cómo defenderme" | D3FEND | CIS Controls |
| "Quiero validar mis detecciones" | CALDERA | Atomic Red Team |
| "Quiero personalizar ATT&CK" | Workbench | Spreadsheet manual |
| "Quiero comparar EDRs" | Evaluations results | POC propia |
| "Quiero proteger mis modelos AI" | ATLAS | OWASP LLM Top 10 |
| "Quiero defensa activa" | ENGAGE | Build your own deception |
Conclusión
El ecosistema MITRE es más que ATT&CK. Las herramientas del Center for Threat-Informed Defense cubren el ciclo completo: desde extraer inteligencia de informes (TRAM) hasta validar detecciones (CALDERA), pasando por priorización (Top Techniques) y personalización (Workbench). Integrar este ecosistema transforma un SOC reactivo en uno threat-informed. PENDIENTE: ampliar con tutorial de flujo integrado end-to-end.
Fuentes y referencias
- Center for Threat-Informed Defense: Projects
- MITRE: ATT&CK Data Sources documentation
- MITRE: Sightings Ecosystem documentation
Preguntas frecuentes
Artículos relacionados
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.