Il MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) è un framework di conoscenza globale che fornisce un’ampia raccolta di tattiche e tecniche utilizzate dai cybercriminali durante le loro operazioni. Sviluppato e mantenuto dalla MITRE Corporation, questo framework è ampiamente utilizzato dagli esperti di sicurezza informatica per comprendere, rilevare e rispondere agli attacchi informatici.

Caratteristiche principali del MITRE ATT&CK

Tattiche: le tattiche rappresentano le varie fasi o obiettivi strategici che gli attaccanti cercano di raggiungere durante un attacco. Ogni tattica risponde alla domanda “perché” un attaccante esegue una determinata azione. Alcuni esempi di tattiche includono:

  • Initial Access: metodi per ottenere l’accesso iniziale a un sistema.
  • Execution: tecniche utilizzate per eseguire codice malevolo.
  • Persistence: metodi per mantenere l’accesso ai sistemi compromessi.
  • Privilege Escalation: tecniche per ottenere privilegi più elevati.

    Tecniche: le tecniche descrivono “come” gli attaccanti realizzano le tattiche. Ogni tecnica è una modalità specifica utilizzata per raggiungere un obiettivo tattico. Ad esempio, nella tattica Initial Access, una tecnica potrebbe essere il phishing, mentre nella tattica Privilege Escalation, una tecnica potrebbe essere l’esecuzione di exploit su vulnerabilità locali.

    Sotto-tecniche: alcune tecniche sono ulteriormente suddivise in sotto-tecniche, che descrivono metodi ancora più dettagliati per eseguire una tecnica specifica.

    Procedure: le procedure descrivono le modalità specifiche con cui gli attaccanti implementano le tecniche e sotto-tecniche nella pratica reale.

      Utilizzo del MITRE ATT&CK

      Il MITRE ATT&CK è utilizzato da molteplici organizzazioni di sicurezza informatica e analisti per:

      • Rilevamento e Risposta agli Incidenti: Aiuta a identificare e rispondere a specifiche tecniche utilizzate dagli attaccanti durante un incidente di sicurezza.
      • Valutazione delle Minacce: Fornisce una base di conoscenza per comprendere meglio le minacce attuali e le capacità degli attaccanti.
      • Test di Sicurezza: Utilizzato per simulare attacchi e testare l’efficacia delle difese di un’organizzazione.
      • Analisi del Comportamento degli Attaccanti: Consente di analizzare il comportamento degli attaccanti e di identificare modelli comuni nelle loro operazioni.

      Esempi di Tecniche nel MITRE ATT&CK

      • Phishing (Initial Access): Invio di email malevole per ingannare gli utenti e indurli a fornire credenziali o eseguire codice malevolo.
      • Spear Phishing Attachment (Initial Access): Invio di allegati malevoli mirati a specifici individui o organizzazioni.
      • Credential Dumping (Credential Access): Estrazione di credenziali di accesso memorizzate nei sistemi compromessi.
      • Lateral Movement (Movement): Utilizzo delle credenziali ottenute per spostarsi lateralmente all’interno della rete e compromettere ulteriori sistemi.

      In sintesi, il MITRE ATT&CK è uno strumento essenziale per la sicurezza informatica moderna, offrendo una comprensione dettagliata delle tattiche e tecniche degli attaccanti e supportando le organizzazioni nella difesa contro le minacce informatiche.