Il framework MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) è ampiamente utilizzato nell’ambito della cyber threat intelligence come punto di riferimento. Esso consente di descrivere e classificare, in modo standardizzato, le tattiche, le tecniche e le procedure avverse (TTP) basate sull’osservazione del mondo reale. L’organizzazione senza scopo di lucro MITRE Corporation, finanziata a livello federale e con centri di ricerca e sviluppo, ha creato il framework.
Il framework ATT&CK è uno strumento utile per analizzare e comprendere le tattiche e le tecniche impiegate dai threat actors per infiltrarsi, compromettere e rubare informazioni da un sistema o una rete. La sua matrice elenca diverse tattiche e tecniche utilizzate dagli aggressori, come l’accesso iniziale, la persistenza, l’escalation dei privilegi e l’esfiltrazione. Negli ultimi anni, la matrice è stata suddivisa in tre parti separate che coprono le categorie Enterprise, Mobile e ICS (Industrial Control Systems), ciascuna con specifici TTP impiegati nei rispettivi settori. In particolare, la versione Enterprise del framework è quella maggiormente utilizzata dagli analisti, anche se è buona norma esaminare anche le versioni Mobile e ICS, per comprenderne i dettagli.
Il framework MITRE ATT&CK è un’importante risorsa per i cyber analisti, che lo utilizzano per valutare le difese della propria organizzazione e identificare le aree che necessitano di miglioramenti. Comprendendo le tattiche e le tecniche specifiche utilizzate dagli aggressori, i difensori possono adottare misure proattive per migliorare la propria postura di sicurezza e mitigare potenziali minacce. Inoltre, il framework MITRE ATT&CK è uno strumento indispensabile poiché consente la collaborazione nella gestione delle minacce comuni.
Ad esempio, se ACME Security fornisce servizi di sicurezza gestiti a diverse organizzazioni e nota un threat actor che prende di mira diverse di queste organizzazioni utilizzando TTP simili, condividerà le informazioni su tali TTP con la comunità. In questo modo, i team di sicurezza di altre aziende, potranno utilizzare queste informazioni per effettuare ricerche sulle minacce, verificare la disponibilità di indicatori relativi ai TTP e migliorare la propria protezione. Il framework MITRE ATT&CK rappresenta un linguaggio comune per la condivisione dei TTP tra le organizzazioni.
Dopo aver compreso il concetto di base del framework MITRE ATT&CK e la sua utilità, possiamo approfondire gli aspetti tecnici per iniziare ad utilizzarlo autonomamente. Il framework MITRE ATT&CK è una risorsa completa e dettagliata che fornisce una conoscenza approfondita delle tattiche e delle tecniche avversarie. Queste ultime sono organizzate in una struttura gerarchica che prevede la suddivisione delle tecniche sotto una specifica tattica. Allo stesso modo, le procedure rappresentano le azioni specifiche necessarie per eseguire una determinata tecnica.
Le tattiche presenti nel framework rimangono costanti, ma le tecniche sono regolarmente aggiornate, nelle diverse versioni del framework, in base all’emergere di nuovi metodi di hacking.
Le 14 tattiche del MITRE ATT&CK includono:
Sono illustrati i dettagli tecnici per ogni tattica e tecnica utilizzata dai threat actors. Queste informazioni includono il vettore di attacco, il software o lo strumento utilizzato e l’impatto potenziale sul sistema o sulla rete. Lo scopo è quello di aiutare i difensori a comprendere il panorama delle minacce e a sviluppare strategie di mitigazione efficaci.
Ad esempio, la tattica di accesso iniziale comprende attualmente nove tecniche utilizzate dagli attori delle minacce. Una di queste tecniche è il phishing (T1566), che ha tre sotto-tecniche:
Le organizzazioni e le piattaforme di sicurezza emetteranno rapporti di intelligence sulle minacce, che forniranno dettagli sugli incidenti di sicurezza e includeranno un elenco di TTP osservati dagli analisti durante l’indagine sull’incidente. Il team di sicurezza userà il framework MITRE ATT&CK per descrivere le TTP e, se una di esse è stata utilizzata per l’accesso iniziale, ad esempio un allegato di spearphishing (T1566.001), verrà segnalato. Un difensore che legge il rapporto può quindi utilizzare il framework MITRE ATT&CK per identificare mitigazioni specifiche, ad esempio la formazione degli utenti (M1017) o i rilevamenti del traffico di rete (DS0029), che possono proteggere la propria organizzazione da questa tecnica. L’implementazione di mitigazioni e controlli di rilevamento, fa in modo che l’organizzazione possa bloccare gli attacchi. L’aggiornamento costante dei sistemi rappresenta una sfida per i team di sicurezza, utilizzando il descritto flusso di intelligence, i difensori possono continuamente perfezionare i propri sistemi di difesa.
Il framework MITRE ATT&CK non è un’entità isolata, ma è accompagnato da una varietà di progetti correlati che aiutano i difensori a utilizzarlo in modo efficace.
Uno di questi progetti è rappresentato dai gruppi di attività monitorati da MITRE. In questo contesto, l’organizzazione tiene traccia di tutti i cluster di attività associati a threat actors noti, fornendo una descrizione dettagliata del gruppo, dei nomi associati, delle tecniche di attacco utilizzate comunemente e del software impiegato. Queste informazioni sono particolarmente utili per gli analisti di intelligence, che possono utilizzarle per comprendere meglio quale gruppo potrebbe prendere di mira la loro organizzazione, identificare le loro TTP preferite e sviluppare una strategia di difesa mirata.
Inoltre, MITRE tiene traccia dei software utilizzati per eseguire attacchi informatici, mappandoli ai threat actors monitorati. Gli analisti possono utilizzare tali informazioni per rendere maggiormente efficaci le proprie difese.
Inoltre, MITRE ha iniziato a tracciare anche le campagne di attacco, ovvero le attività di intrusione che presentano caratteristiche comuni. L’organizzazione utilizza tali connotazioni per mappare le campagne ai gruppi e ai software impiegati, fornendo agli analisti una preziosa fonte di informazioni per identificare e prevenire eventuali attacchi rivolti alle proprie organizzazioni.
Il framework MITRE ATT&CK è un’arma potente nelle mani dei professionisti della cyber security, per identificare, prevenire e contrastare le moderne minacce IT, consentendo alle organizzazioni di mantenere i propri sistemi e dati al sicuro, in un panorama sempre più complesso e pericoloso.
Uno studio dell’Organizzazione per la Cooperazione e lo Sviluppo Economico (OCSE) stima che circa il…
Guida al Black Friday 2024: scopri come sfruttare le offerte in modo intelligente, evitando trappole…
Critiche per lo spot natalizio 2024 di Coca-Cola, realizzato interamente con intelligenza artificiale: innovazione o…
Scopri le differenze tra ChatGPT, Gemini e Microsoft Copilot: caratteristiche, funzionalità e consigli per scegliere…
L'azienda ha subito commentato quella che può sembrare una vera istigazione al suicidio. Si tratta…
La DeFi permette di effettuare transazioni direttamente tra utenti, prestare o prendere in prestito denaro,…