¿Cómo se conectan ATT&CK y D3FEND?

Cada técnica D3FEND tiene un campo 'counters' que lista las técnicas ATT&CK que contrarresta. El mapeo es bidireccional: desde ATT&CK puedes encontrar las defensas D3FEND aplicables, y desde D3FEND puedes ver qué ataques cubre. Esto permite gap analysis: ataques sin defensa mapeada.

IntermedioD3FENDMITRE ATT&CKgap analysisdefensa

D3FEND + ATT&CK: Cómo Usarlos Juntos

Guía práctica para usar MITRE ATT&CK y D3FEND juntos: mapeo bidireccional ataque-defensa, gap analysis, priorización de inversiones, y flujo operativo para equipos SOC, CTI y CISO.

MalwareIntel Research·27 de mayo de 2026·5 min lectura

Serie: MITRE ATT&CK y D3FEND — Parte 24

ATT&CK y D3FEND juntos forman el ciclo completo ataque-defensa que permite gap analysis preciso

ATT&CK documenta el "cómo atacan". D3FEND documenta el "cómo defenderse". Usados juntos, permiten responder la pregunta más importante en seguridad: "para cada amenaza real, ¿tenemos una defensa técnica implementada?". Este artículo muestra el flujo práctico para combinar ambos frameworks.

El mapeo bidireccional

De ATT&CK a D3FEND (amenaza → defensa)

Entrada: T1003.001 (OS Credential Dumping: LSASS Memory)
Pregunta: "¿Qué defensas D3FEND cubren este ataque?"

Resultado:
  HARDEN:
    D3-CH: Credential Hardening → Credential Guard (previene dump)
  DETECT:
    D3-PM: Platform Monitoring → Sysmon Event 10 (detecta acceso a LSASS)
    D3-PA: Process Analysis → Memory integrity verification
  ISOLATE:
    D3-EI: Execution Isolation → Protected Process Light (PPL)
  EVICT:
    D3-CE: Credential Eviction → Password reset post-incidente

De D3FEND a ATT&CK (defensa → amenazas cubiertas)

Entrada: D3-NTA (Network Traffic Analysis)
Pregunta: "¿Qué ataques ATT&CK cubre esta defensa?"

Resultado:
  T1071.001: Application Layer Protocol (HTTPS C2)
  T1071.004: DNS (DNS tunneling)
  T1572: Protocol Tunneling
  T1090: Proxy (multi-hop C2)
  T1568.002: Domain Generation Algorithm
  T1048: Exfiltration Over Alternative Protocol
  T1040: Network Sniffing (detectar sniffing activo)

Flujo operativo: ATT&CK + D3FEND

Para el equipo CTI

1. Identificar amenazas relevantes (sector, región)
   → Lista de grupos ATT&CK (APT28, LockBit, Cl0p)

2. Extraer técnicas ATT&CK de cada grupo
   → Lista consolidada de técnicas (eliminar duplicados)

3. Para cada técnica, buscar defensas D3FEND
   → Mapa: técnica ATT&CK → defensas D3FEND posibles

4. Entregar al SOC: "estas son las defensas que necesitamos
   contra nuestras amenazas más probables"

Para el SOC

1. Recibir mapa CTI: técnicas ATT&CK + defensas D3FEND requeridas

2. Verificar implementación de cada defensa D3FEND
   → Implementada y probada ✓
   → Implementada pero no probada ⚠
   → No implementada ✗

3. Para cada gap (✗): evaluar coste y esfuerzo de implementación
   → Quick win (< 1 día): regla SIEM, canary token, config change
   → Proyecto (1-4 semanas): nueva herramienta, integración
   → Inversión (> 1 mes): nuevo producto, cambio arquitectural

4. Priorizar: quick wins primero, luego proyectos por impacto

Para el CISO

1. Recibir dashboard de cobertura:
   "82% de técnicas de ransomware tienen defensa implementada"
   "60% de técnicas de espionaje APT tienen defensa"

2. Identificar gaps críticos con coste de remediación:
   "Implementar canary files cuesta 0 EUR y cubre T1486 detection"
   "Implementar NDR cuesta 50K EUR y cubre T1071, T1572, T1090"

3. Decisión de inversión basada en datos:
   ROI = (técnicas cubiertas × impacto) / coste

Ejemplo práctico: defensa contra ransomware LockBit

Cadena de ataque LockBit (ATT&CK)

Fase	Técnica ATT&CK	ID
Acceso	Phishing	T1566.001
Ejecución	PowerShell	T1059.001
Persistencia	Scheduled Task	T1053.005
Credenciales	LSASS dump	T1003.001
Lateral	PsExec / SMB	T1021.002
Exfiltración	rclone a MEGA	T1567.002
Pre-impacto	Delete shadow copies	T1490
Impacto	Ransomware encryption	T1486

Mapeo defensa D3FEND para cada fase

ATT&CK	D3FEND defensa	Implementación concreta	Coste
T1566.001	D3-MH + D3-FA	Email gateway + sandbox	$$$
T1059.001	D3-PA (Script Analysis)	AMSI + Script Block Logging + CLM	$0 (config)
T1053.005	D3-PM (OS Monitoring)	Sysmon Event 1 + Sigma rule	$0
T1003.001	D3-CH + D3-PM	Credential Guard + Sysmon Event 10	$0 (config)
T1021.002	D3-NI + D3-PM	Segmentación + Event 7045/4624	$
T1567.002	D3-NTA + D3-UBA	Proxy monitoring + DLP	$$
T1490	D3-PM	Sysmon rule: vssadmin/wmic/bcdedit	$0
T1486	D3-DO + D3-PH	Canary files + backups inmutables	$

Resultado: 6 de 8 defensas son $0 (solo configuración). Las 2 restantes (email gateway, proxy DLP) probablemente ya existen. El gap real suele estar en configuración, no en herramientas.

Automatización del mapeo

Herramientas

Herramienta	Qué hace
D3FEND API	Consultar mapeos ATT&CK↔D3FEND programáticamente
DeTT&CT	Generar layers Navigator con cobertura defensiva
ATT&CK Navigator + D3FEND layers	Overlay visual de ataque vs defensa
Custom script (Python)	Automatizar gap analysis periódico

Script conceptual

# Concepto: gap analysis automatizado
for threat_group in relevant_groups:
    techniques = get_attack_techniques(threat_group)
    for technique in techniques:
        defenses = get_d3fend_countermeasures(technique.id)
        implemented = check_implementation(defenses, our_inventory)
        if not implemented:
            gaps.append({
                'attack': technique,
                'missing_defenses': defenses,
                'priority': calculate_priority(technique, threat_group)
            })

report_gaps(gaps, sort_by='priority')

Conclusión

ATT&CK + D3FEND juntos transforman la seguridad de "creemos que estamos protegidos" a "sabemos exactamente qué ataques detectamos y cuáles no". El flujo CTI→SOC→CISO basado en ambos frameworks produce gap analysis medible, priorización basada en amenazas reales, y decisiones de inversión con ROI cuantificable.

Fuentes y referencias

MITRE: "Integrating ATT&CK and D3FEND" (2023)
Center for Threat-Informed Defense: "Top Techniques" project
SANS: "Operationalizing ATT&CK and D3FEND Together" (2024)