MITRE ATT&CK.

MITRE ATT&CK è la knowledge base aperta di tattiche, tecniche e procedure (TTP) degli avversari osservate in ambienti reali. Vocabolario standard per la difesa informata dalle minacce: regole di detection, scenari red-team, formazione degli analisti SOC. Aggiornata continuamente, gratuita. Se le regole del proprio SIEM non referenziano gli ID di tecnica ATT&CK, si sta lavorando con più sforzo del necessario.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCybersecurity operationsAll entries

Il punto di vista di Cyber Academy

MITRE ATT&CK è la knowledge base aperta di tattiche, tecniche e procedure (TTP) degli avversari osservate in ambienti reali. Vocabolario standard per la difesa informata dalle minacce: regole di detection, scenari red-team, formazione degli analisti SOC. Aggiornata continuamente, gratuita. Se le regole del proprio SIEM non referenziano gli ID di tecnica ATT&CK, si sta lavorando con più sforzo del necessario.

Un linguaggio comune per descrivere il comportamento degli attaccanti

MITRE ATT&CK riorienta la threat intelligence intorno al comportamento anziché agli indicatori. Invece di catalogare gli indirizzi IP o gli hash dei file osservati in una singola campagna, che cambiano di continuo, cataloga ciò che gli avversari fanno davvero una volta dentro un ambiente: come ottengono l'accesso iniziale, scalano i privilegi, si muovono lateralmente, eludono le difese ed esfiltrano dati. Ciascuno di questi comportamenti è catturato come una tecnica dotata di un identificatore stabile, e le tecniche sono raggruppate sotto tattiche che descrivono l'obiettivo dell'attaccante a ogni passaggio. Il risultato è una mappa strutturata e basata sull'evidenza del manuale di gioco avversario, tratta da intrusioni reali osservate anziché dalla teoria.

Il framework è organizzato come una matrice. Le colonne sono le tattiche, il perché dietro un passaggio, e le celle sotto ciascuna colonna sono le tecniche e le sotto-tecniche, il come. Matrici separate coprono gli ambienti Enterprise, mobile e i sistemi di controllo industriale, perché il comportamento avversario differisce a seconda di quei terreni. Poiché gli identificatori delle tecniche sono stabili e pubblici, diventano un riferimento comune che un analista di threat intelligence, un ingegnere SOC che scrive rilevamenti e un membro di un red team che pianifica un esercizio possono tutti citare senza ambiguità. Quel vocabolario condiviso è il superpotere silenzioso di ATT&CK: consente a team che non si parlano mai di descrivere lo stesso attacco nello stesso modo.

Tattiche, tecniche e procedure

Il modello TTP è al cuore di ATT&CK e conviene tenere distinti i tre livelli. Le tattiche sono gli obiettivi dell'avversario, le finalità ampie come ottenere un punto d'appoggio o mantenere la persistenza. Le tecniche sono i metodi generali usati per raggiungere una tattica, e molte tecniche si suddividono ulteriormente in sotto-tecniche che descrivono una variante più specifica. Le procedure sono le implementazioni concrete, osservate nel mondo reale, che un gruppo particolare ha usato per realizzare una tecnica. Risalire quella scala, dalla procedura alla tecnica alla tattica, è ciò che trasforma un cumulo di artefatti di incidente in uno schema contro cui ci si può difendere.

I livelli TTP in ATT&CK
LivelloDomanda a cui rispondeSenso illustrato
TatticaPerché l'avversario fa questo?L'obiettivo di un passaggio, come la persistenza o il movimento laterale
TecnicaCome, in generale, lo raggiungono?Un metodo con nome e un identificatore ATT&CK stabile, talvolta suddiviso in sotto-tecniche
ProceduraCome esattamente questo gruppo l'ha fatto?L'implementazione specifica osservata in un'intrusione reale

La ragione per cui i professionisti apprezzano questa struttura è che le difese costruite a livello di tecnica sopravvivono più a lungo di quelle basate sugli indicatori. Un attaccante può cambiare un dominio malevolo o ricompilare un payload in pochi minuti, sconfiggendo il blocco basato sulle firme, ma modificare la tecnica sottostante richiede più sforzo e spesso più abilità. I rilevamenti ancorati alle tecniche invecchiano quindi più lentamente e catturano varianti che la prima firma non ha mai visto.

Come i team mettono ATT&CK al lavoro

La difesa informata dalle minacce è la pratica che ATT&CK abilita, e si manifesta in tutta la funzione di sicurezza. I team SOC etichettano le regole di rilevamento con identificatori di tecniche così da vedere, a colpo d'occhio, quali comportamenti avversari riescono a individuare e quali sfuggono loro. Quell'analisi delle lacune, spesso visualizzata come una mappa di calore sulla matrice, indirizza dove va il prossimo sforzo di rilevamento.

I red team e i purple team usano la matrice per progettare e valutare esercizi, attraversando deliberatamente le tecniche per verificare se il blue team le nota. I team di threat intelligence descrivono i gruppi avversari in termini ATT&CK così che i report siano comparabili anziché prosa su misura. E i programmi di formazione vi si appoggiano perché offre agli analisti un modello unico e ben documentato del comportamento degli attaccanti da apprendere, anziché mille racconti di guerra slegati.

ATT&CK è pubblicato apertamente, gratuito da usare e aggiornato di continuo man mano che si osserva nuovo comportamento avversario, ed è il motivo per cui è diventato il riferimento di fatto anziché un framework di un fornitore tra molti. Si abbina naturalmente ai cataloghi di controlli e ai sistemi di gestione: dove ISO/IEC 27001, il NIST Cybersecurity Framework o i CIS Controls ti dicono quali capacità di protezione e rilevamento costruire, ATT&CK ti dice quali comportamenti avversari quelle capacità devono affrontare, ed è sempre più usato per prioritizzare e validare quel lavoro.

Frequently asked questions

01Qual è la differenza tra tattiche e tecniche in ATT&CK?

Una tattica è l'obiettivo dell'avversario in un passaggio, il perché, come la persistenza o l'esfiltrazione. Una tecnica è un metodo generale usato per raggiungere quell'obiettivo, il come, e molte tecniche si suddividono in sotto-tecniche più specifiche. Le procedure sono il modo concreto in cui un gruppo particolare ha implementato una tecnica in un'intrusione reale.

02MITRE ATT&CK è gratuito da usare?

Sì. ATT&CK è una base di conoscenza pubblicata apertamente, mantenuta da MITRE, gratuita da usare e aggiornata di continuo man mano che si osserva nuovo comportamento avversario nel mondo reale.

03In cosa ATT&CK differisce dalla cyber kill chain?

La kill chain descrive le fasi di alto livello di un'intrusione in una sequenza lineare. ATT&CK è molto più granulare: cataloga tecniche e sotto-tecniche specifiche sotto ciascuna tattica, tratte dal comportamento reale osservato, perciò è usato per l'ingegneria di rilevamento dettagliata e la mappatura della copertura anziché come un semplice modello a fasi.

04Come usa concretamente un SOC ATT&CK?

I team SOC etichettano le regole di rilevamento con identificatori di tecniche per mappare la loro copertura sulla matrice, esponendo quali comportamenti avversari riescono a rilevare e quali sono punti ciechi. Quell'analisi delle lacune indirizza poi dove investire in nuovi rilevamenti, sorgenti di log e sforzo di messa a punto.

05ATT&CK sostituisce framework come ISO 27001 o NIST?

No, li completa. I framework di controlli ti dicono quali capacità di protezione e rilevamento costruire, mentre ATT&CK descrive i comportamenti avversari che quelle capacità devono affrontare. I team lo usano per prioritizzare e validare i controlli che un framework richiede.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.