Dándole continuidad al tema de MITRE ATT&CK el día de hoy vamos a hablar sobre las tácticas empleadas por los atacantes y como están definidas en cada una de las matrices.
Enterprise tactics
Consta de catorce (14) tácticas descritas de la siguiente manera:
Reconnaissance: El atacante está tratando de recopilar la mayor información, empleando técnicas de recolección de información de forma activa o pasiva, esta información puede incluir detalles de la organización, la infraestructura o el personal correspondientes al objetivo definido para el atacante. La información recopilada puede ser utilizada más adelante en otro ciclo del ataque y puede ser empleada para definir el alcance y priorizar otros objetivos secundarios.
Resource Development: El Desarrollo de recursos hace referencia a la recolección de recursos, los cuales van a ser utilizados para soportar el ataque. Dentro de la recolección de recursos podemos tomar como ejemplo que el atacante puede comprometer una cuenta de un usuario para generar nivel de confianza y lograr evadir los controles de defensa implementados por el objetivo.
Initial Access: Acceso inicial hace referencia a los primeros accesos que intenta realizar el atacante empleando varios vectores de entrada. Ejemplo: Phishing o explotación de vulnerabilidades de algunos servidores que se encuentren publicados.
Execution: Hace referencia a que el atacante está tratando de emplear técnicas para ejecutar código malicioso. Ejemplo: Ejecutar un script de power shell de manera remota.
Persitence: La persistencia consiste en técnicas que utilizan los adversarios para mantener el acceso a los sistemas a través de reinicios, cambios de credenciales y otras interrupciones.
Privilege Escalation: Escalar privilegios hace referencia a tratar de elevar los permisos dentro de un sistema y poder obtener permisos de root o admin.
Defense Evasion: Hace referencia a las tácticas que se emplean para evitar ser detectado después de haber comprometido un sistema.
Credential Access: Credenciales de Acceso hace referencia a que el atacante está tratando de obtener más credenciales (nombres de usuario y contraseñas) para crear más usuarios, permanecer en el sistema y asi evitar ser detectado.
Discovery: Hace referencia a que el atacante está empleando técnicas para obtener un conocimiento más acertado de los sistemas y la red interna del objetivo comprometido.
Lateral Movement: El movimiento lateral hace referencia a que el atacante está tratando de expandirse desde el punto de entrada inicial hacia toda la red.
