Sin duda, MITRE ATT&CK se ha convertido en el marco de trabajo de referencia para la estructuración (y análisis, y detección…) de tácticas y técnicas ligadas a operaciones ofensivas. Este estándar de facto constituye un esfuerzo enorme que sirve de gran ayuda para todos los que trabajamos en seguridad, pero también tiene muchas opciones de mejora, al ser un trabajo en curso y permanente actualización. Algunas de las críticas a MITRE ATT&CK pasan por la estructura plana de técnicas asociadas a cada táctica, sin ningún tipo de estructura que facilite su análisis.
En particular, en el caso de la táctica Reconocimiento, en la que un actor hostil trata de obtener información sobre su objetivo a través de diferentes medios, MITRE ATT&CK proporciona igualmente una estructura plana para las técnicas, como en el resto de tácticas, pero en este caso mezcla conceptos que pueden inducir a error y que no constituirían técnicas en sí mismas. Veamos: MITRE ATT&CK define las siguientes técnicas para la táctica “Reconnaissance” (no detallamos al nivel de sub técnica):
ID | Technique |
T1595 | Active Scanning |
T1592 | Gather Victim Host Information |
T1589 | Gather Victim Identity Information |
T1590 | Gather Victim Network Information |
T1591 | Gather Victim Org Information |
T1598 | Phishing for Information |
T1597 | Search Closed Sources |
T1596 | Search Open Technical Databases |
T1593 | Search Open Websites/Domains |
T1594 | Search Victim-Owned Websites |