Il framework MITRE ATT&CK (MITRE ATT&CK) è una base di conoscenza universalmente accessibile e costantemente aggiornata per modellare, rilevare, impedire e contrastare le minacce alla cybersecurity sulla base dei comportamenti antagonisti noti dei criminali informatici.
L'ATT&CK in MITRE ATT&CK è l'acronimo di Tattiche avverse, Tecniche e conoscenza comune.
MITRE ATT&CK cataloga le tattiche, le tecniche e le procedure dei criminali informatici (TTP) in ogni fase del ciclo di vita dell'attacco informatico, dalla raccolta iniziale di informazioni e dai comportamenti di pianificazione dell'autore dell'attacco, fino all'esecuzione finale dell'attacco. Le informazioni contenute in MITRE ATT&CK possono aiutare i team addetti alla sicurezza
a simulare accuratamente gli attacchi informatici per testare le difese informatiche;
a creare criteri e controlli di sicurezza e piani di risposta agli incidenti più efficaci
a scegliere e configurare le tecnologie di sicurezza per rilevare, impedire e mitigare meglio le minacce informatiche.
Inoltre, la tassonomia MITRE ATT&CK di tattiche, tecniche e sottotecniche degli avversari (vedere di seguito) definisce un linguaggio comune che i professionisti della sicurezza possono utilizzare per condividere informazioni sulle minacce informatiche e collaborare alla prevenzione delle minacce.
MITRE ATT&CK non è un software di per sé. Ma numerose soluzioni software per la sicurezza aziendale, come l'analisi del comportamento degli utenti e delle entità (UEBA), il rilevamento e risposta estesi (XDR), l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR) e la gestione delle informazioni e degli eventi di sicurezza (SIEM), possono integrare le informazioni sulle minacce di MITRE ATT&CK per aggiornare e migliorare le capacità di rilevamento e risposta alle minacce.
MITRE ATT&CK è stato sviluppato da MITRE Corporation, un'organizzazione senza scopo di lucro, ed è gestito da MITRE con il contributo di una comunità globale di professionisti della sicurezza informatica.
Collabora con i consulenti IBM Threat Management per modernizzare il tuo programma di gestione delle minacce, colmare le lacune tecnologiche e di competenze e prendere decisioni più informate e basate sul rischio.
Registrati per il report Cost of a Data Breach
MITRE ATT&CK organizza tattiche e tecniche (e sottotecniche) dell'avversario in matrici. Ciascuna matrice include strategie e tecniche corrispondenti agli attacchi su domini specifici:
L'Enterprise Matrix include tutte le tecniche degli avversari utilizzate negli attacchi contro l'infrastruttura aziendale. Questa matrice include sottomatrici per piattaforme Windows, macOS e Linux, nonché infrastrutture di rete, piattaforme cloud e tecnologie container. Include inoltre una matrice PRE di tecniche preparatorie utilizzate prima di un attacco.
La matrice Mobile include tecniche utilizzate negli attacchi diretti ai dispositivi mobili e negli attacchi mobili basati sulla rete che non richiedono l'accesso a un dispositivo mobile. Questa matrice include sottomatrici per le piattaforme mobili iOS e Android.
La Matrice ICS include tecniche utilizzate negli attacchi ai sistemi di controllo industriale, in particolare macchinari, dispositivi, sensori e reti utilizzati per controllare o automatizzare le operazioni per fabbriche, utenze, sistemi di trasporto e altri fornitori di servizi critici.
Ogni tattica MITRE ATT&CK rappresenta un obiettivo dell'avversario specifico, ovvero un obiettivo che l'autore dell'attacco vuole realizzare in un determinato momento. Le tattiche ATT&CK corrispondono strettamente alle fasi di un attacco informatico. Ad esempio, le tattiche ATT&CK oggetto della matrice Enterprise includono:
Riconoscimento: raccolta di informazioni per la pianificazione di un attacco.
Sviluppo delle risorse: creazione di risorse per supportare le operazioni di un attacco.
Accesso iniziale: penetrazione nel sistema o nella rete di destinazione
Esecuzione: esecuzione di malware o codice dannoso sul sistema esposto a pericolo
Persistenza: mantenimento dell'accesso al sistema compromesso (in caso di chiusura o riconfigurazioni).
Escalation dei privilegi: acquisizione di accesso o autorizzazioni di livello superiore (ad esempio, passaggio dall'accesso utente a quello di amministratore).
Evasione della difesa: evita il rilevamento una volta all'interno di un sistema.
Accesso alle credenziali: furto di nomi utente, password e altre credenziali di accesso.
Rilevamento: ricerca dell'ambiente di destinazione per scoprire a quali risorse è possibile accedere o controllare per supportare un attacco pianificato.
Movimento laterale: acquisizione dell'accesso a risorse aggiuntive all'interno del sistema.
Raccolta: raccolta di dati relativi all'obiettivo d'attacco (ad esempio, dati da crittografare e/o estrapolare nell'ambito di un attacco ransomware).
Comando e controllo: stabilire comunicazioni con copertura/non rilevabili che consentano all'autore dell'attacco di controllare il sistema.
Esfiltrazione: furto di dati dal sistema.
Impatto: interruzione, corruzione, disabilitazione o distruzione di dati o processi di business.
Ancora una volta, le tattiche e le tecniche variano da matrice a matrice (e sottomatrice). Ad esempio, la matrice Mobile non include tattiche di Riconoscimento e Sviluppo delle risorse, ma include altre tattiche, Effetti di rete ed Effetti di servizio remoto, non presenti nella matrice Enterprise.
Se le tattiche MITRE ATT&CK rappresentano quello che gli autori dell'attacco vogliono ottenere, le tecniche MITRE ATT&CK rappresentano il modo in cui tentano di realizzarlo. Ad esempio, la compromissione drive-by e lo spear phishing sono tipi di tecniche di accesso iniziale; l'utilizzo dello storage senza file è un esempio di tecnica di evasione della difesa.
La base di conoscenza fornisce le seguenti informazioni per ogni tecnica:
Descrizione e informazioni generali sulla tecnica.
Eventuali sottotecniche note connesse alla tecnica. Ad esempio, le sottotecniche per il phishing includono allegati spear phishing, collegamenti spear phishing e spear phishing tramite servizio. Al momento della stesura di questo documento, MITRE ATT&CK riporta 196 tecniche individuali e 411 sottotecniche.
Esempi di procedure correlate. Questi possono includere i modi in cui i gruppi di attacco utilizzano la tecnica o i tipi di software intenzionalmente dannoso utilizzati per eseguire la tecnica.
Mitigazioni: pratiche di sicurezza (ad es. formazione degli utenti) o software (ad es., software antivirus, sistemi di prevenzione delle intrusioni) in grado di bloccare o affrontare la tecnica.
Metodi di rilevamento. In genere si tratta di dati di log o di fonti di dati di sistema che i team addetti alla sicurezza o il software di sicurezza possono monitorare alla ricerca di prove della tecnica.
MITRE ATT&CK offre numerosi altri modi per visualizzare e lavorare con la base di conoscenza. Invece di ricercare tattiche e tecniche specifiche attraverso le matrici, gli utenti possono effettuare ricerche basate su:
Origini dei dati: un indice di tutti i dati di log o origini dei dati di sistema e componenti dati che i team addetti alla sicurezza o il software di sicurezza possono monitorare per individuare prove di tentativi di tecniche di attacco.
Mitigazioni: un indice di tutte le mitigazioni a cui si fa riferimento nella base di conoscenza. Gli utenti possono approfondire per scoprire quali tecniche affronta una particolare mitigazione.
Gruppi:un indice di gruppi avversari e tattiche e tecniche di attacco impiegate. Al momento della stesura di questo documento, MITRE ATT&CK ha documentato 138 gruppi.
Software: un indice del software o dei servizi intenzionalmente dannosi (740 al momento della stesura di questo documento) che gli autori dell'attacco possono utilizzare per eseguire tecniche particolari.
Campagne: essenzialmente un database di campagne di attacco informatico o di spionaggio informatico, comprese informazioni sui gruppi che le hanno lanciate e su eventuali tecniche e software utilizzati.
MITRE ATT&CK Navigator è uno strumento open source per la ricerca, il filtraggio, l'annotazione e la presentazione di dati dalla base di conoscenza. I team addetti alla sicurezza possono utilizzare MITRE ATT&CK Navigator per identificare e confrontare rapidamente tattiche e tecniche utilizzate da particolari gruppi di minacce, individuare il software utilizzato per eseguire una tecnica specifica, abbinare le attenuazioni a tecniche specifiche e altro ancora.
ATT&CK Navigator può esportare i risultati in formato grafico JSON, Excel o SVG (per le presentazioni). I team addetti alla sicurezza possono utilizzarlo online (ospitato su GitHub) o scaricarlo su un computer locale.
MITRE ATT&CK supporta una serie di attività e tecnologie che le organizzazioni utilizzano per ottimizzare le operazioni di sicurezza e migliorare la posizione di sicurezza complessiva.
Assegnazione di priorità degli avvisi, rilevamento e risposta alle minacce. Le informazioni contenute in MITRE ATT&CK sono estremamente preziose per vagliare e assegnare priorità alla marea di avvisi correlati alla sicurezza generati da software e dispositivi di una tipica rete aziendale. Infatti, numerose soluzioni per la sicurezza aziendale, tra cui SIEM (Gestione delle informazioni e degli eventi di sicurezza), UEBA (Analisi del comportamento degli utenti e delle entità), EDR (Rilevamento e risposta degli endpoint) e XDR (Rilevamento e risposta estesi), possono acquisire informazioni da MITRE ATT&CK e utilizzarle per assegnare la priorità agli avvisi, arricchire la cyber threat intelligence da altre fonti e attivare i playbook sulla risposta agli incidenti o risposte alle minacce automatiche.
Rilevamento delle minacce. L'individuazione delle minacce è un esercizio di sicurezza in cui gli analisti della sicurezza cercano nella propria rete eventuali minacce che hanno superato le misure di sicurezza informatica esistenti. Le informazioni di MITRE ATT&CK relative a tattiche, tecniche e procedure dell'avversario forniscono letteralmente centinaia di punti per avviare o proseguire l'individuazione delle minacce.
Red teaming o emulazione dell'avversario. I team addetti alla sicurezza possono utilizzare le informazioni in MITRE ATT&CK per simulare attacchi informatici nel mondo reale. Queste simulazioni possono testare l'efficacia delle politiche, delle pratiche e delle soluzioni di sicurezza messe in atto e aiutare a identificare le vulnerabilità da affrontare.
Analisi delle lacune nella sicurezza e valutazioni della maturità del Security Operations Center (SOC). L'analisi delle lacune nella sicurezza mette a confronto le pratiche e le tecnologie di sicurezza informatica esistenti di un'organizzazione rispetto agli attuali standard di settore. Una valutazione della maturità SOC valuta la maturità del SOC di un'organizzazione in base alla sua capacità di bloccare o mitigare costantemente le minacce informatiche o gli attacchi informatici con intervento manuale minimo o senza intervento. In ogni caso, i dati di MITRE ATT&CK possono aiutare le organizzazioni a condurre queste valutazioni utilizzando i dati più recenti relativi a tattiche, tecniche e mitigazioni delle minacce informatiche.
Come MITRE ATT&CK, Lockheed Martin Cyber Kill Chain modella gli attacchi informatici come una serie di tattiche avversarie. Alcune tattiche hanno addirittura gli stessi nomi. Ma l'analogia finisce qui.
La Cyber Kill Chain è più di un semplice framework che una base di conoscenza. È molto meno dettagliato di MITRE ATT&CK. Interessa solo sette (7) tattiche: Riconoscimento, Weaponizzazione, Consegna, Sfruttamento, Installazione, Comando e Controllo, Azioni su obiettivi,rispetto a MITRE ATT&CK 18 (incluse solo le tattiche Mobile e ICS). Non fornisce modelli discreti per gli attacchi su piattaforme Mobile o ICS. E non cataloga nulla che si avvicini al livello di informazioni dettagliate in merito a tattiche, tecniche e procedure presenti in MITRE ATT&CK.
Un'altra importante distinzione: la Cyber Kill Chain si basa sul presupposto che un attacco informatico deve realizzare tattiche avversarie in sequenza per raggiungere un risultato positivo e che il blocco di una delle tattiche "spezzerà la kill chain" e impedirà all'avversario di raggiungere l'obiettivo finale. MITRE ATT&CK non adotta questo approccio; si concentra sull'aiutare i professionisti della sicurezza a identificare e bloccare o mitigare le singole tattiche e tecniche avversarie in qualsiasi contesto si presentino.
IBM Security® ti aiuta a proteggere la tua azienda con un portafoglio avanzato e integrato di soluzioni e servizi di cybersecurity aziendale intrisi di AI.
Simula attacchi per testare, misurare e migliorare il rilevamento del rischio e la risposta agli incidenti.
Utilizza un team di analisti di intelligence di livello mondiale per capire come sta cambiando il panorama delle minacce e le tecniche più recenti utilizzate dagli autori delle minacce.
Gli attacchi informatici sono tentativi indesiderati di rubare, esporre, alterare, disabilitare o distruggere le informazioni tramite l'accesso non autorizzato ai sistemi di elaborazione.
La gestione delle informazioni di sicurezza e degli eventi (SIEM) offre il monitoraggio e l'analisi in tempo reale degli eventi, nonché il monitoraggio e la registrazione dei dati di sicurezza a fini di conformità o controllo.
L'individuazione delle minacce è un approccio proattivo all'identificazione di minacce sconosciute o non sottoposte a correzione in corso all'interno della rete di un'organizzazione.