Il framework MITRE ATT&CK (MITRE ATT&CK) è una base di conoscenza universalmente accessibile e costantemente aggiornata per modellare, rilevare, impedire e contrastare le minacce alla sicurezza informatica sulla base dei comportamenti antagonisti noti dei criminali informatici. (Il termine ATT&CK in MITRE ATT&CK indica Adversarial Tactics, Techniques & Common Knowledge ovvero Tattiche, tecniche e conoscenza comune degli avversari.)
MITRE ATT&CK cataloga le tattiche, le tecniche e le procedure dei criminali informatici (TTP) in ogni fase del ciclo di vita dell'attacco informatico, dalla raccolta iniziale di informazioni e dai comportamenti di pianificazione dell'autore dell'attacco, fino all'esecuzione finale dell'attacco. Le informazioni contenute in MITRE ATT&CK possono aiutare i team addetti alla sicurezza
a simulare accuratamente gli attacchi informatici per testare le difese informatiche
a creare politiche e controlli di sicurezza e piani di risposta all'incidente più efficaci
a scegliere e configurare le tecnologie di sicurezza per rilevare, impedire e mitigare meglio le minacce informatiche
Inoltre, la tassonomia MITRE ATT&CK di tattiche, tecniche e sottotecniche degli avversari (vedere di seguito) definisce un linguaggio comune che i professionisti della sicurezza possono utilizzare per condividere informazioni sulle minacce informatiche e collaborare alla prevenzione delle minacce.
MITRE ATT&CK non è software di per sé. Ma molte soluzioni software per la sicurezza aziendale, come l'analisi del comportamento degli utenti e delle entità (UEBA), il rilevamento e risposta estesi (XDR), l'orchestrazione della sicurezza, automazione e risposta (SOAR) e la gestione delle informazioni e degli eventi di sicurezza (SIEM), possono integrare le informazioni sulle minacce di MITRE ATT&CK per aggiornare e migliorare le capacità di rilevamento e risposta alle minacce.
MITRE ATT&CK è stato sviluppato da MITRE Corporation, un'organizzazione senza scopo di lucro, ed è gestito da MITRE con il contributo di una comunità globale di professionisti della sicurezza informatica.
MITRE ATT&CK organizza tattiche e tecniche (e sottotecniche) dell'avversario in matrici. Ciascuna matrice include strategie e tecniche corrispondenti agli attacchi su domini specifici:
La matrice Enterprise include tutte le tecniche degli avversari utilizzate negli attacchi contro l'infrastruttura aziendale. Questa matrice include sottomatrici per piattaforme Windows, macOS e Linux, nonché infrastrutture di rete, piattaforme cloud e tecnologie container. Include anche una matrice PRE di tecniche preparatorie utilizzate prima di un attacco.
La matrice Mobile include tecniche utilizzate negli attacchi diretti ai dispositivi mobili e negli attacchi mobili basati sulla rete che non richiedono l'accesso a un dispositivo mobile. Questa matrice include sottomatrici per le piattaforme mobili iOS e Android.
La Matrice ICS include tecniche utilizzate negli attacchi ai sistemi di controllo industriale, in particolare macchinari, dispositivi, sensori e reti utilizzati per controllare o automatizzare le operazioni per fabbriche, utenze, sistemi di trasporto e altri fornitori di servizi critici.
Ogni tattica MITRE ATT&CK rappresenta un obiettivo dell'avversario specifico, ovvero un obiettivo che l'autore dell'attacco vuole realizzare in un determinato momento. Le tattiche ATT&CK corrispondono strettamente agli stage o fasi di un attacco informatico. Ad esempio, le tattiche ATT&CK oggetto della matrice Enterprise includono:
Riconoscimento: raccolta di informazioni per pianificare un attacco
Sviluppo delle risorse: creazione di risorse per supportare le operazioni di attacco
Accesso iniziale: penetrazione del sistema o della rete di destinazione
Esecuzione: esecuzione di malware o codice nocivo sul sistema esposto a pericolo
Persistenza: mantenimento dell'accesso al sistema esposto a pericolo (in caso di chiusura o riconfigurazioni)
Escalation dei privilegi: acquisizione di accesso o autorizzazioni di livello superiore (ad esempio, passaggio dall'accesso utente a quello di amministratore)
Evasione della difesa: elusione del rilevamento dopo la penetrazione all'interno di un sistema
Accesso alle credenziali: furto di nomi utente, password e altre credenziali di accesso
Rilevamento: ricerca dell'ambiente di distribuzione per scoprire a quali risorse è possibile accedere o controllare per supportare un attacco pianificato
Movimento laterale: acquisizione dell'accesso a risorse aggiuntive all'interno del sistema
Raccolta: raccolta di dati relativi all'obiettivo d'attacco (ad esempio, dati da crittografare e/o estrapolare nell'ambito di un attacco ransomware)
Comando e controllo: instaurazione di comunicazioni con copertura/non rilevabili, che consentano all'autore dell'attacco di controllare il sistema
Esfiltrazione: furto di dati dal sistema
Impatto: interruzione, corruzione, disabilitazione o distruzione di dati o processi di business.
Ancora una volta, le tattiche e le tecniche variano da matrice a matrice (e sottomatrice). Ad esempio, la matrice Mobile non include tattiche di Riconoscimento e Sviluppo delle risorse, ma include altre tattiche, Effetti di rete ed Effetti di servizio remoto, non presenti nella matrice Enterprise.
Se le tattiche MITRE ATT&CK rappresentano ciò che gli autori dell'attacco vogliono ottenere, le tecniche MITRE ATT&CK rappresentano il modo in cui cercano di realizzarlo. Ad esempio, la compromissione drive-by e lo spear phishing sono tipi di tecniche di accesso iniziale; l'utilizzo dell'archiviazione senza file è un esempio di tecnica di evasione della difesa.
La base di conoscenza fornisce le seguenti informazioni per ogni tecnica:
Descrizione e informazioni generali sulla tecnica.
Eventuali sottotecniche note connesse alla tecnica. Ad esempio, le sottotecniche per il phishing includono allegato spear phishing, collegamento spear phishing e spear phishing tramite servizio. Al momento della stesura di questo documento, MITRE ATT&CK documenta 196 tecniche individuali e 411 sottotecniche.
Esempi di procedure correlate. Questi possono includere i modi in cui i gruppi di attacco utilizzano la tecnica o i tipi di software intenzionalmente dannoso utilizzati per eseguire la tecnica.
Mitigazioni: pratiche di sicurezza (ad es. formazione degli utenti) o software (ad es., software antivirus, sistemi di prevenzione delle intrusioni) in grado di bloccare o affrontare la tecnica.
Metodi di rilevamento. In genere si tratta di dati di log o di fonti di dati di sistema che i team addetti alla sicurezza o il software di sicurezza possono monitorare alla ricerca di prove della tecnica.
MITRE ATT&CK offre diversi altri modi per visualizzare e lavorare con la base di conoscenza. Invece di ricercare tattiche e tecniche specifiche tramite le matrici, gli utenti possono effettuare ricerche basate su
Origini dei dati: un indice di tutti i dati di log o origini dei dati di sistema e componenti dati che i team addetti alla sicurezza o il software di sicurezza possono monitorare per individuare prove di tentativi di tecniche di attacco.
Attenuazioni: un indice di tutte le mitigazioni a cui si fa riferimento nella base di conoscenza. Gli utenti possono approfondire per scoprire quali tecniche affronta una particolare attenuazione.
Gruppi: un indice di gruppi avversari e tattiche e tecniche di attacco impiegate. Al momento in cui scriviamo MITRE ATT&CK ha documentato 138 gruppi.
Software: un indice del software o dei servizi intenzionalmente dannosi (740 al momento della stesura di questo documento) che gli autori dell'attacco possono utilizzare per eseguire tecniche particolari.
Campagne: essenzialmente un database di campagne di attacco informatico o di spionaggio informatico, comprese informazioni sui gruppi che le hanno lanciate e su eventuali tecniche e software utilizzati.
MITRE ATT&CK Navigator è uno strumento open source per la ricerca, il filtraggio, l'annotazione e la presentazione di dati dalla base di conoscenza. I team addetti alla sicurezza possono utilizzare MITRE ATT&CK Navigator per identificare e confrontare rapidamente tattiche e tecniche utilizzate da particolari gruppi di minacce, identificare il software utilizzato per eseguire una tecnica specifica, abbinare le attenuazioni a tecniche specifiche e altro ancora.
ATT&CK Navigator può esportare i risultati in formato grafico JSON, Excel o SVG (per presentazioni). I team addetti alla sicurezza possono utilizzarlo online (ospitato su GitHub) o scaricarlo su un computer locale.
MITRE ATT&CK supporta una serie di attività e tecnologie che le organizzazioni utilizzano per ottimizzare le operazioni di sicurezza e migliorare la posizione di sicurezza complessiva.
Assegnazione di priorità degli avvisi; rilevamento e risposta alle minacce. Le informazioni contenute in MITRE ATT&CK sono estremamente preziose per vagliare e assegnare priorità alla marea di avvisi correlati alla sicurezza generati da software e dispositivi di una tipica rete aziendale. Infatti, molte soluzioni per la sicurezza aziendale, tra cui SIEM (Gestione delle informazioni e degli eventi di sicurezza), UEBA (Analisi del comportamento degli utenti e delle entità), EDR (Rilevamento e risposta degli endpoint) e XDR (Rilevamento e risposta estesi), possono acquisire informazioni da MITRE ATT&CK e utilizzarle per assegnare priorità agli avvisi, arricchire l'intelligence sulle minacce informatiche da altre fonti e attivare i playbook sulla risposta all'incidente o risposte alle minacce automatiche.
Individuazione delle minacce. L'individuazione delle minacce è un esercizio di sicurezza in grado di produrre cambiamenti, in cui gli analisti della sicurezza cercano nella propria rete le minacce che hanno superato le misure di sicurezza informatica esistenti. Le informazioni di MITRE ATT&CK su tattiche, tecniche e procedure dell'avversario forniscono letteralmente centinaia di punti per avviare o proseguire l'individuazione delle minacce.
Red teaming o emulazione dell'avversario. I team addetti alla sicurezza possono utilizzare le informazioni in MITRE ATT&CK per simulare attacchi informatici nel mondo reale. Queste simulazioni possono testare l'efficacia delle politiche, delle pratiche e delle soluzioni di sicurezza messe in atto e aiutare a identificare le vulnerabilità da affrontare.
Analisi del divario di sicurezza e valutazione della maturità SOC. L'analisi del divario di sicurezza confronta le pratiche e le tecnologie di sicurezza informatica esistenti di un'organizzazione con gli attuali standard di settore. Una valutazione della maturità SOC valuta la maturità del centro operativo di sicurezza (SOC) di un'organizzazione in base alla sua capacità di bloccare o mitigare costantemente le minacce o gli attacchi informatici con un intervento manuale minimo o senza intervento. In ogni caso, i dati di MITRE ATT&CK possono aiutare le organizzazioni a condurre queste valutazioni utilizzando i dati più recenti su tattiche, tecniche e mitigazioni delle minacce informatiche.
Come MITRE ATT&CK, Lockheed Martin Cyber Kill Chain modella gli attacchi informatici come una serie di tattiche avversarie. Alcune tattiche hanno addirittura gli stessi nomi. Ma l'analogia finisce qui.
La Cyber Kill Chain è più un framework che una base di conoscenza. È molto meno dettagliato di MITRE ATT&CK. Interessa solo sette (7) tattiche: Riconoscimento, Weaponizzazione, Consegna, Sfruttamento, Installazione, Comando e Controllo, Azioni su obiettivi, rispetto a MITRE ATT&CK 18 (incluse le tattiche solo Mobile e ICS). Non fornisce modelli discreti per gli attacchi su piattaforme Mobile o ICS. E non cataloga nulla che si avvicini al livello di informazioni dettagliate su tattiche, tecniche e procedure presenti in MITRE ATT&CK.
Un'altra importante distinzione: la Cyber Kill Chain si basa sul presupposto che un attacco informatico deve realizzare tattiche avversarie in sequenza per raggiungere un risultato positivo e che il blocco di una delle tattiche "spezzerà la kill chain" e impedirà all'avversario di raggiungere l'obiettivo finale. MITRE ATT&CK non adotta questo approccio; si concentra sull'aiutare i professionisti della sicurezza a identificare e bloccare o mitigare le singole tattiche e tecniche avversarie in qualsiasi contesto si presentino.
Outsmart attacca con una suite di sicurezza connessa e modernizzata. Il portafoglio QRadar è dotato di AI di grado aziendale e offre prodotti integrati per la sicurezza degli endpoint, la gestione dei log, il SIEM e il SOAR, il tutto con un'interfaccia utente comune, insight condivisi e workflow connessi.
L'individuazione delle minacce in grado di produrre cambiamenti, il monitoraggio continuo e un'analisi approfondita delle minacce sono solo alcune delle priorità che deve affrontare un dipartimento organizzativo IT già impegnato. Avere a disposizione un team affidabile di risposta all'incidente può ridurre i tempi di risposta, diminuire l'impatto di un attacco informatico e favore il ripristino più rapidamente.
Per impedire e contrastare le moderne minacce ransomware, IBM utilizza insight provenienti da 800 TB di dati su minacce e attività correlate, informazioni su oltre 17 milioni di attacchi spam e phishing e dati reputazionali di quasi 1 milione di indirizzi IP dannosi provenienti da una rete di 270 milioni di endpoint.
Gli attacchi informatici sono tentativi indesiderati di sottrarre, esporre, alterare, disabilitare o distruggere le informazioni tramite l'accesso non autorizzato ai sistemi di elaborazione.
Gestione delle informazioni e degli eventi di sicurezza (SIEM) offre il monitoraggio e l'analisi degli eventi in tempo reale, nonché il monitoraggio e la registrazione dei dati di sicurezza a fini di conformità o controllo.
L'individuazione delle minacce è un approccio proattivo all'identificazione di minacce sconosciute o non sottoposte a correzione in corso all'interno della rete di un'organizzazione.