Logo Trellix
Perché Trellix?
Piattaforma
Services
Partner
Risorse
Informazioni su
Inizia
Sei stato vittima di una violazione?
Assistenza
Contattaci
Menu principale
PERCHÉ TRELLIX?
Perché Trellix? Trellix rispetto alla concorrenza Il vantaggio di Trellix Platform Certificazioni e conformità
INTELLIGENCE SULLE MINACCE
Advanced Research Center Trellix Insights Rapporti sulle minacce Blog di ricerca più recenti
Menu principale
FUNZIONALITÀ DELLA PIATTAFORMA
Informazioni sulla nostra piattaforma Trellix Wise Motore
CATEGORIE DI PRODOTTO
Endpoint Security Data Security Network Security Threat Intelligence Email Security Security Operations View All Products
SOLUZIONI
Rilevamento e risposta del ransomware Strategia Zero Trust IA e operazioni di sicurezza CISO Pubblica Amministrazione Sicurezza delle elezioni
Menu principale
SERVIZI PROFESSIONALI
Trellix Thrive Servizi MDR (Managed Detection and Response) Servizi per le soluzioni Servizi di consulenza informatica
ISTRUZIONE E FORMAZIONE
Servizi per l’istruzione Corsi di formazione
Menu principale
LA NOSTRA RETE
Panoramica sui partner Security Innovation Alliance OEM & Embedded Alliance Servizi forniti dai partner
PORTALE DEI PARTNER
Accesso al portale dei partner di Trellix Diventa un partner
PARTNER STRATEGICI
Amazon Web Services (AWS) Google Cloud Telefónica Tech
Menu principale
CENTRO RISORSE
Libreria delle risorse Storie dei clienti Argomenti di sensibilizzazione alla sicurezza
IMPARA
Webinar Conferenze tecniche settimanali Presentazioni dei prodotti
ACCESSO
Accesso a Trellix Trellix Hive Developer Portal Marketplace
Menu principale
AZIENDA
Chi siamo Team dirigente Riconoscimenti del settore Storie dei clienti Lavora con noi
MEDIA
Comunicati stampa Ultime notizie Blog Accedi all’area stampa
CONNETTITI
Eventi Contattaci

Che cos'è il framework MITRE ATT&CK?

Definition Matrix Cloud Matrix Cyber Kill Chain How to Use Resources Request a Demo

MITRE ATT&CK® sta per MITRE Adversarial Tactics, Techniques, and Common Knowledge (Tattiche, tecniche e conoscenze comuni). (ATT&CK). Il framework MITRE ATT&CK è costituito da una knowledge base selezionata e da un modello dei comportamenti informatici ostili, che riflettono le varie fasi del ciclo di vita di un attacco e le piattaforme che vengono prese di mira. L'astrazione di tattiche e tecniche del modello offre una tassonomia comune delle singole azioni ostili, viste dal lato sia offensivo sia difensivo della sicurezza informatica. Fornisce inoltre un adeguato livello di categorizzazione per le azioni ostili e le modalità specifiche di difesa.

Il modello comportamentale presentato da ATT&CK contiene i seguenti componenti di base:

  • tattiche, ossia gli obiettivi a breve termine di un attacco (le colonne);
  • tecniche, ossia i mezzi tramite i quali i criminali raggiungono gli obiettivi tattici (le singole celle) e
  • utilizzo criminale documentato delle tecniche e altri metadati (legati alle tecniche). [1]

MITRE ATT&CK fu creato nel 2013 come risultato del Fort Meade Experiment (FMX) di MITRE, nel quale i ricercatori emularono i comportamenti, sia dei criminali sia dei difensori, nel tentativo di migliorare il rilevamento delle minacce post-compromissione tramite la telemetria dei sensori e l'analisi comportamentale. La domanda fondamentale posta dai ricercatori era: "Con quale efficacia rileviamo il comportamento ostile documentato?" Per rispondere, i ricercatori svilupparono ATT&CK che categorizza i comportamenti dei criminali.

MITRE ATT&CK ora presenta tre iterazioni:

ATT&CK for Enterprise
ATT&CK for Mobile
ATT&CK for ICS

Si concentra sui comportamenti ostili negli ambienti Windows, Mac, Linux e Cloud.

Si concentra sui comportamenti ostili nei sistemi operativi iOS Android.

Si concentra sulla descrizione delle azioni che può compiere un criminale operante in una rete ICS.

MITRE ATT&CK viene usato in tutto il mondo in varie discipline fra cui: rilevamento delle intrusioni, ricerca delle minacce, ingegneria della sicurezza, intelligence sulle minacce, simulazioni degli attacchi e gestione dei rischi. [2]

Che cos'è la tabella MITRE ATT&CK?

La tabella MITRE ATT&CK contiene una serie di tecniche usate dai criminali per raggiungere uno specifico obiettivo. Nella tabella ATT&CK gli obiettivi sono categorizzati come tattiche. Gli obiettivi sono presentati in maniera lineare, dal punto di ricognizione fino all'obiettivo finale di esfiltrazione o "impatto". Se guardiamo alla versione più ampia di ATT&CK for Enterprise, che include Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, rete e contenitori, troviamo le seguenti categorie di tattiche ostili:

  1. Ricognizione: la raccolta di informazioni (ad es. sull'organizzazione presa di mira) per pianificare le future operazioni ostili.
  2. Sviluppo di risorse: la creazione delle risorse di supporto per le operazioni, come la configurazione dell'infrastruttura di comando e controllo.
  3. Accesso iniziale: il tentativo di accedere alla rete, ad es. con lo spear phishing.
  4. Esecuzione: il tentativo di eseguire il codice nocivo, ad es. eseguendo uno strumento di accesso remoto.
  5. Persistenza: il tentativo di mantenere la presenza, ad es. modificando le configurazioni.
  6. Aumento dei privilegi: il tentativo di ottenere autorizzazioni di livello più alto, ad es. sfruttando una vulnerabilità per aumentare l'accesso.
  7. Elusione delle difese: il tentativo di evitare il rilevamento, ad es. utilizzando processi affidabili per nascondere il malware.
  8. Accesso alle credenziali: il furto di nomi e password degli account, ad es. tramite i keylogger.
  9. Individuazione delle risorse: il tentativo di capire l'ambiente, ad es. ciò di cui si può prendere il controllo.
  10. Spostamento laterale: i movimenti all'interno dell'ambiente, ad es. usando credenziali legittime per passare da un sistema all'altro.
  11. Acquisizione: la raccolta di dati interessanti per l'obiettivo del criminale, ad es. l'accesso ai dati archiviati nel cloud.
  12. Comando e controllo: la comunicazione con i sistemi compromessi per controllarli, ad es. simulando il normale traffico web per comunicare con una rete vittima.
  13. Esfiltrazione: il furto dei dati, ad es. il loro trasferimento verso un account cloud.
  14. Impatto: la manipolazione, interruzione o distruzione di sistemi e dati, ad es. la crittografia dei dati con il ransomware.

Ciascuna tattica della tabella MITRE ATT&CK contiene le tecniche usate dai criminali, che descrivono le loro effettive attività svolte. Alcune presentano delle sotto tecniche che spiegano in maggior dettaglio il modo in cui la relativa tecnica viene utilizzata. Qui sotto è rappresentata la tabella completa ATT&CK for Enterprise dal navigatore MITRE ATT&CK:

MITRE ATT&CK for Enterprise, 2021

Che differenza c'è con la tabella MITRE ATT&CK for Cloud?

La tabella MITRE ATT&CK for Enterprise contiene la sottosezione MITRE ATT&CK for Cloud, con un sottogruppo di tattiche e tecniche tratto dalla più ampia tabella ATT&CK Enterprise. La tabella MITRE ATT&CK Cloud si differenzia dalla tabella Enterprise nel senso che i comportamenti ostili e le tecniche usate in un attacco al cloud non seguono lo stesso schema degli attacchi agli ambienti Windows, macOS, Linux o ad altri ambienti aziendali.

Generalmente, le tecniche MITRE ATT&CK in Windows, macOS, Linux e altri ambienti correlati implicano l'ingresso del malware in una rete che è di proprietà e utilizzata dall'organizzazione presa di mira.

Le tecniche MITRE ATT&CK in AWS, Azure, Office 365 e altri ambienti correlati invece non implicano generalmente un malware, poiché l'ambiente colpito è posseduto e utilizzato da un servizio cloud terzo, come Microsoft o Amazon. Non potendo entrare nell'ambiente della vittima, spesso il criminale sfrutta le funzionalità native del fornitore di servizi cloud per penetrare nell'account della vittima stessa, aumentare i propri privilegi, spostarsi lateralmente ed esfiltrare i dati. Un esempio di comportamento ostile utilizzante il framework ATT&CK for Cloud è illustrato nelle seguenti tecniche:


Tecnica
Comportamento

Accesso iniziale

Utilizzo delle credenziali rubate per creare un nuovo account

Persistenza

Vittima sottoposta a spear-phishing per ottenere le credenziali per AWS

Aumento dei privilegi

Utilizzo di un account valido per cambiare le autorizzazioni di accesso

Elusione delle difese

Creazione di una nuova istanza VM per bypassare le regole del firewall

Accesso con le credenziali

Furto del token di accesso a un database

Individuazione

Individuazione del database da colpire

Spostamento laterale

Utilizzi del token di accesso alle applicazioni per accedere al database

Acquisizione

Estrazione delle informazioni dal database

Esfiltrazione

Trasferimento verso l'account del criminale in AWS


L'intera tabella ATT&CK for Cloud è mostrata qui sotto. È visibile il sottogruppo delle tattiche e tecniche di ATT&CK for Enterprise:

MITRE ATT&CK for Cloud, 2021


MITRE ATT&CK for Containers, 2021

MITRE ATT&CK e la catena di attacco informatico

La Lockheed Martin Cyber Kill Chain® è un altro ben noto framework per comprendere il comportamento dei criminali durante un attacco informatico. Il modello della catena di attacco contiene le seguenti fasi, presentate in sequenza:

  1. Ricognizione – Raccolta di indirizzi email, informazioni sulle conferenze ecc.
  2. Armamento – Unione di exploit e backdoor per formare il payload da consegnare.
  3. Consegna – Invio alla vittima del bundle usato come arma, tramite email, web, USB ecc.
  4. Sfruttamento – Sfruttamento di una vulnerabilità per eseguire il codice nel sistema di una vittima.
  5. Installazione – Installazione del malware nella risorsa.
  6. Comando e controllo (C&C) – Include il canale di comando per la manipolazione da remoto.
  7. Azioni sugli obiettivi – Gli intrusi utilizzano l'accesso di tipo "mani sulla tastiera" per raggiungere i propri obiettivi originari.

In questa grafica Lockheed Martin mostra i dettagli del proprio framework Cyber Kill Chain. [3]

Le differenze principali fra MITRE ATT&CK e Cyber Kill Chain sono due.

  1.  Innanzitutto, il framework MITRE ATT&CK approfondisce molto di più il modo in cui ogni fase viene svolta tramite le tecniche e sotto tecniche di ATT&CK. MITRE ATT&CK viene regolarmente aggiornato sulle ultime tecniche con i dati di settore. In tal modo i difensori possono parallelamente aggiornare le proprie prassi e i modelli di attacco.

  2. In secondo luogo, Cyber Kill Chain non considera le differenti tattiche e tecniche degli attacchi nativi del cloud, come spiegato sopra. Il framework Cyber Kill Chain presuppone che un criminale invii all'ambiente bersaglio un payload, come il malware, metodo molto meno rilevante nel cloud.

catena di attacco informatico

Come si usa la tabella MITRE ATT&CK?

Il framework MITRE ATT&CK aiuta le organizzazioni in svariati modi. In generale, i vantaggi concreti dell'adozione di MITRE ATT&CK sono i seguenti:

  1. Adversary Emulation: Assesses security by applying intelligence about an adversary and how they operate to emulate a threat. ATT&CK è utilizzabile per creare simulazioni degli avversari al fine di testate e verificare le difese.
  2. Simulazione degli attacchi: agisce come un avversario per dimostrare l'impatto di una violazione. ATT&CK è utilizzabile per creare piani di simulazione e organizzare le operazioni.
  3. Sviluppo dell'analisi comportamentale: correla le attività sospette per monitorare l'attività dei criminali. ATT&CK è utilizzabile per semplificare e organizzare i modelli delle attività sospette ritenute dannose.
  4. Valutazione delle lacune nella difesa: determina quali sono le parti dell'azienda che mancano di difesa e/o di visibilità. ATT&CK è utilizzabile per valutare gli strumenti esistenti o per testare quelli nuovi prima di acquistarli, nonché per determinare la copertura della sicurezza e ordinare per priorità gli investimenti.
  5. Valutazione della maturità del SOC: analogamente alla valutazione delle lacune nella difesa, ATT&CK è utilizzabile per determinare l'efficacia di un centro operazioni di sicurezza (Security Operations Center, SOC) nel rilevamento, analisi e risposta alle violazioni.
  6. Arricchimento delle Cyber Threat Intelligence: potenzia le informazioni sulle minacce e sui loro autori. ATT&CK consente ai difensori di valutare se sono in grado di difendersi contro specifiche minacce avanzate persistenti (Advanced Persistent Threat, ATP) e contro i comportamenti comuni a molti attori delle minacce.

In genere l'implementazione di MITRE ATT&CK richiede la correlazione manuale o l'integrazione con gli strumenti di sicurezza informatica, i più comuni dei quali sono SIEM (Security Information and Event Management, gestione degli eventi e delle informazioni di sicurezza), EDR (Endpoint Detection and Response, rilevamento e risposta per gli endpoint) e CASB (Cloud Access Security Broker, intermediario di sicurezza per l'accesso al cloud).

L'utilizzo di MITRE ATT&CK con un SIEM comporta l'aggregazione dei dati di registro di endpoint, reti e servizi cloud, per identificare le minacce e correlarle a MITRE ATT&CK. Le variazioni allo stato della sicurezza vengono poi apportate negli strumenti di sicurezza fornendone i dati di registro (es., EDR o CASB).

L'utilizzo di MITRE ATT&CK con EDR implica la correlazione degli eventi osservati dall'agent nell'endpoint. Ciò consente ai difensori di determinare le fasi di un evento di minaccia, valutare il rischio associato e assegnare la priorità alla risposta.

Explore more Security Awareness topics

View Cybersecurity Topics View All Security Awareness