Il framework MITRE ATT&CK (MITRE ATT&CK) è una base di conoscenza universalmente accessibile e costantemente aggiornata per modellare, rilevare, impedire e contrastare le minacce alla cybersecurity sulla base dei comportamenti antagonisti noti dei criminali informatici.
Il termine ATT&CK in MITRE ATT&CK sta per Adversarial Tactics, Techniques & Common Knowledge.
MITRE ATT&CK cataloga le tattiche, le tecniche e le procedure dei criminali informatici (TTP) in ogni fase del ciclo di vita dell'attacco informatico, dalla raccolta iniziale di informazioni e dai comportamenti di pianificazione dell'autore dell'attacco, fino all'esecuzione finale dell'attacco. Le informazioni contenute in MITRE ATT&CK possono aiutare i team addetti alla sicurezza
a simulare accuratamente gli attacchi informatici per testare le difese informatiche;
a creare politiche e controlli di sicurezza e piani di risposta agli incidenti più efficaci;
a scegliere e configurare le tecnologie di sicurezza per rilevare, impedire e mitigare meglio le minacce informatiche.
Inoltre, la tassonomia MITRE ATT&CK di tattiche, tecniche e sottotecniche degli avversari (vedere di seguito) definisce un linguaggio comune che i professionisti della sicurezza possono utilizzare per condividere informazioni sulle minacce informatiche e collaborare alla prevenzione delle minacce.
MITRE ATT&CK non è un software di per sé. Tuttavia numerose soluzioni software per la sicurezza aziendale, come l'analisi del comportamento degli utenti e delle entità (UEBA), il rilevamento e risposta estesi (XDR), l'orchestrazione, l'automazione e la risposta della sicurezza (SOAR) e la gestione delle informazioni e degli eventi di sicurezza (SIEM), possono integrare le informazioni sulle minacce di MITRE ATT&CK per aggiornare e migliorare le capacità di rilevamento e risposta alle minacce.
MITRE ATT&CK è stato sviluppato da MITRE Corporation, un'organizzazione senza scopo di lucro, ed è gestito da MITRE con il contributo di una comunità globale di professionisti della sicurezza informatica.
MITRE ATT&CK organizza tattiche e tecniche (e sottotecniche) dell'avversario in matrici. Ciascuna matrice include strategie e tecniche corrispondenti agli attacchi su domini specifici:
La matrice Enterprise include tutte le tecniche degli avversari utilizzate negli attacchi contro l'infrastruttura aziendale. Questa matrice include sottomatrici per piattaforme Windows, macOS e Linux, nonché infrastrutture di rete, piattaforme cloud e tecnologie container. Include anche una matrice PRE di tecniche preparatorie utilizzate prima di un attacco.
La matrice Mobile include tecniche utilizzate negli attacchi diretti ai dispositivi mobili e negli attacchi mobili basati sulla rete che non richiedono l'accesso a un dispositivo mobile. Questa matrice include sottomatrici per le piattaforme mobili iOS e Android.
La Matrice ICS include tecniche utilizzate negli attacchi ai sistemi di controllo industriale, in particolare macchinari, dispositivi, sensori e reti utilizzati per controllare o automatizzare le operazioni per fabbriche, utenze, sistemi di trasporto e altri fornitori di servizi critici.
Ogni tattica MITRE ATT&CK rappresenta un obiettivo dell'avversario specifico, ovvero un obiettivo che l'autore dell'attacco vuole realizzare in un determinato momento. Le tattiche ATT&CK corrispondono strettamente alle fasi di un attacco informatico. Ad esempio, le tattiche ATT&CK oggetto della matrice Enterprise includono:
Riconoscimento: raccolta di informazioni per la pianificazione di un attacco.
Sviluppo delle risorse: creazione di risorse per supportare le operazioni di attacco.
Accesso iniziale: penetrazione del sistema o della rete di destinazione.
Esecuzione: esecuzione di malware o codice dannoso sul sistema esposto a pericolo.
Persistenza: mantenimento dell'accesso al sistema compromesso (in caso di chiusura o riconfigurazioni).
Escalation dei privilegi: acquisizione di accesso o autorizzazioni di livello superiore (ad esempio, passaggio dall'accesso utente a quello di amministratore).
Evasione della difesa: evitare il rilevamento una volta entrati in un sistema.
Accesso alle credenziali: furto di nomi utente, password e altre credenziali di accesso.
Rilevamento: ricerca nell'ambiente target al fine di scoprire a quali risorse è possibile accedere o che è possibile controllare per facilitare un attacco pianificato.
Movimento laterale: acquisizione dell'accesso a risorse aggiuntive all'interno del sistema.
Raccolta: acquisizione di dati relativi all'obiettivo d'attacco (ad esempio, dati da crittografare e/o estrapolare nell'ambito di un attacco ransomware).
Comando e controllo: creazione di comunicazioni nascoste e non rilevabili che permettono al criminale informatico di controllare il sistema.
Esfiltrazione: furto di dati dal sistema.
Impatto: interruzione, corruzione, disabilitazione o distruzione di dati o processi di business.
Ancora una volta, le tattiche e le tecniche variano da matrice a matrice (e sottomatrice). Ad esempio, la matrice Mobile non include tattiche di Riconoscimento e Sviluppo delle risorse, ma include altre tattiche, Effetti di rete ed Effetti di servizio remoto, non presenti nella matrice Enterprise.
Rafforza la tua intelligence sulla sicurezza
Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.
Se le tattiche MITRE ATT&CK rappresentano cosa gli autori dell'attacco vogliono ottenere, le tecniche MITRE ATT&CK rappresentano come cercano di ottenerlo. Ad esempio, la compromissione drive-by e lo spear phishing sono tipi di tecniche di accesso iniziale, mentre l'utilizzo dello storage senza file è un esempio di tecnica di evasione della difesa.
La base di conoscenza fornisce le seguenti informazioni per ogni tecnica:
Descrizione e informazioni generali sulla tecnica.
Eventuali sottotecniche note connesse alla tecnica. Ad esempio, le sottotecniche per il phishing includono allegato spear phishing, collegamento spear phishing e spear phishing tramite servizio. Al momento della stesura di questo documento, MITRE ATT&CK documenta 196 tecniche individuali e 411 sottotecniche.
Esempi di procedure correlate. Questi possono includere i modi in cui i gruppi di attacco utilizzano la tecnica o i tipi di software intenzionalmente dannoso utilizzati per eseguire la tecnica.
Mitigazioni: pratiche di sicurezza (ad es. formazione degli utenti) o software (ad es., software antivirus, sistemi di prevenzione delle intrusioni) in grado di bloccare o affrontare la tecnica.
Metodi di rilevamento. In genere si tratta di dati di log o di fonti di dati di sistema che i team addetti alla sicurezza o il software di sicurezza possono monitorare alla ricerca di prove della tecnica.
MITRE ATT&CK offre numerosi altri modi per visualizzare e lavorare con la base di conoscenza. Invece di ricercare tattiche e tecniche specifiche attraverso le matrici, gli utenti possono effettuare ricerche basate su:
Origini dei dati: un indice di tutti i dati di log o origini dei dati di sistema e componenti dati che i team addetti alla sicurezza o il software di sicurezza possono monitorare per individuare tentativi di tecniche di attacco.
Mitigazioni: un indice di tutte le mitigazioni a cui si fa riferimento nella knowledge base. Gli utenti possono approfondire per scoprire di quali tecniche si occupa una particolare mitigazione.
Gruppi: un indice di gruppi avversari e delle tattiche e tecniche di attacco che impiegano. Al momento della stesura di questo documento, MITRE ATT&CK ha documentato 138 gruppi.
Software: un indice del software o dei servizi intenzionalmente dannosi (740 al momento della stesura di questo documento) che gli autori dell'attacco possono utilizzare per eseguire tecniche particolari.
Campagne: essenzialmente un database di campagne di attacco informatico o di spionaggio informatico, comprese informazioni sui gruppi che le hanno lanciate e su eventuali tecniche e software utilizzati.
MITRE ATT&CK Navigator
MITRE ATT&CK Navigator è uno strumento open source per la ricerca, il filtraggio, l'annotazione e la presentazione di dati dalla base di conoscenza. I team addetti alla sicurezza possono utilizzare MITRE ATT&CK Navigator per identificare e confrontare rapidamente tattiche e tecniche utilizzate da particolari gruppi di minacce, individuare il software utilizzato per eseguire una tecnica specifica, abbinare le attenuazioni a tecniche specifiche e altro ancora.
ATT&CK Navigator può esportare i risultati in formato grafico JSON, Excel o SVG (per le presentazioni). I team addetti alla sicurezza possono utilizzarlo online (ospitato su GitHub) o scaricarlo su un computer locale.
MITRE ATT&CK supporta una serie di attività e tecnologie che le organizzazioni utilizzano per ottimizzare le operazioni di sicurezza e migliorare la posizione di sicurezza complessiva.
Assegnazione di priorità degli avvisi, rilevamento e risposta alle minacce. Le informazioni contenute in MITRE ATT&CK sono estremamente preziose per vagliare e assegnare priorità alla marea di avvisi correlati alla sicurezza generati da software e dispositivi di una tipica rete aziendale. Infatti, numerose soluzioni per la sicurezza aziendale, tra cui SIEM (Gestione delle informazioni e degli eventi di sicurezza), UEBA (Analisi del comportamento degli utenti e delle entità), EDR (Rilevamento e risposta degli endpoint) e XDR (Rilevamento e risposta estesi), possono acquisire informazioni da MITRE ATT&CK e utilizzarle per assegnare la priorità agli avvisi, arricchire la cyber threat intelligence da altre fonti e attivare i playbook sulla risposta agli incidenti o risposte alle minacce automatiche.
Rilevamento delle minacce. Il rilevamento delle minacce è un esercizio di sicurezza proattivo in cui gli analisti della sicurezza cercano nella propria rete le minacce che sono riuscite a superare le misure di cybersecurity esistenti. Le informazioni di MITRE ATT&CK su tattiche, tecniche e procedure dell'avversario forniscono letteralmente centinaia di punti per avviare o proseguire il rilevamento delle minacce.
Red teaming o emulazione dell'avversario. I team addetti alla sicurezza possono utilizzare le informazioni in MITRE ATT&CK per simulare attacchi informatici nel mondo reale. Queste simulazioni possono testare l'efficacia delle politiche, delle pratiche e delle soluzioni di sicurezza messe in atto e aiutare a identificare le vulnerabilità da affrontare.
Analisi delle lacune nella sicurezza e valutazioni della maturità del security operations center (SOC). L'analisi delle lacune nella sicurezza mette a confronto le pratiche e le tecnologie di cybersecurity esistenti di un'organizzazione rispetto agli attuali standard di settore. Una valutazione della maturità SOC valuta la maturità del SOC di un'organizzazione in base alla sua capacità di bloccare o mitigare costantemente le minacce informatiche o gli attacchi informatici con intervento manuale minimo o senza alcun intervento. In ogni caso, i dati di MITRE ATT&CK possono aiutare le organizzazioni a condurre queste valutazioni utilizzando i dati più recenti relativi a tattiche, tecniche e mitigazioni delle minacce informatiche.
Come MITRE ATT&CK, Lockheed Martin Cyber Kill Chain modella gli attacchi informatici come una serie di tattiche avversarie. Alcune tattiche hanno addirittura gli stessi nomi. Ma l'analogia finisce qui.
La Cyber Kill Chain è più di un semplice framework che una base di conoscenza. È molto meno dettagliato di MITRE ATT&CK. Interessa solo sette (7) tattiche: Riconoscimento, Weaponizzazione, Consegna, Sfruttamento, Installazione, Comando e Controllo, Azioni su obiettivi,rispetto a MITRE ATT&CK 18 (incluse solo le tattiche Mobile e ICS). Non fornisce modelli discreti per gli attacchi su piattaforme Mobile o ICS. E non cataloga nulla che si avvicini al livello di informazioni dettagliate in merito a tattiche, tecniche e procedure presenti in MITRE ATT&CK.
Un'altra importante distinzione: la Cyber Kill Chain si basa sul presupposto che un attacco informatico deve realizzare tattiche avversarie in sequenza per raggiungere un risultato positivo e che il blocco di una delle tattiche "spezzerà la kill chain" e impedirà all'avversario di raggiungere l'obiettivo finale. MITRE ATT&CK non adotta questo approccio; si concentra sull'aiutare i professionisti della sicurezza a identificare e bloccare o mitigare le singole tattiche e tecniche avversarie in qualsiasi contesto si presentino.
