MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) è una soluzione costituita da un framework, un set di matrici di dati e uno strumento di valutazione sviluppati da MITRE Corporation per aiutare le organizzazioni a capire il loro grado di predisposizione alla sicurezza e scoprire eventuali vulnerabilità nelle loro difese.

Sviluppato nel 2013, il framework MITRE ATT&CK utilizza osservazioni basate sul mondo reale per documentare specifici metodi, tattiche, tecniche di attacco. Man mano che si scoprono nuove vulnerabilità e superfici di attacco, queste vengono aggiunte al framework ATT&CK, che è quindi in continua evoluzione. Negli ultimi anni, il framework MITRE ATT&CK e le sue matrici sono diventati uno standard di settore per gli strumenti di conoscenza e correzione relativi al comportamento degli hacker.

Le matrici ATT&CK sono utilizzate da un'ampia varietà di professionisti IT e della sicurezza, tra cui Red Team che svolgono il ruolo di hacker o concorrenti, ricercatori di minacce e tecnici di sviluppo di prodotti per la sicurezza, team di intelligence sulle minacce e professionisti della gestione dei rischi.

I Red Team utilizzano il framework MITRE ATT&CK come blueprint per aiutare a scoprire le superfici di attacco e le vulnerabilità nei sistemi e nei dispositivi aziendali, nonché per migliorare la capacità di mitigare gli attacchi una volta che si verificano. Ciò avviene grazie all'apprendimento di informazioni relative, tra l'altro, all'accesso ottenuto dagli hacker, al modo in cui questi ultimi si spostano all'interno della rete interessata e ai metodi utilizzati per eludere il rilevamento. Questo set di strumenti consente alle organizzazioni di acquisire una maggiore consapevolezza del proprio livello di sicurezza generale, identificare e testare le lacune nelle difese e assegnare priorità a potenziali lacune nella sicurezza in base al rischio che rappresentano per l'organizzazione.

I ricercatori di minacce utilizzano il framework ATT&CK per trovare correlazioni tra le tecniche specifiche che gli hacker utilizzano contro le loro difese e utilizzano il framework per comprendere la visibilità degli attacchi mirati alle loro difese sia a livello di endpoint che in tutto il perimetro della rete.

Gli sviluppatori e i tecnici delle piattaforme di sicurezza utilizzano MITRE ATT&CK come strumento per valutare l'efficacia dei loro prodotti, scoprire punti deboli precedentemente sconosciuti e modellare il comportamento dei loro prodotti durante il ciclo di vita di un attacco informatico.

MITRE ATT&CK è la forma abbreviata di MITRE Adversarial Tactics, Techniques, and Common Knowledge. Il framework MITRE ATT&CK è un repository selezionato che include matrici in grado di fornire un modello per i comportamenti degli attacchi informatici. Il framework viene generalmente presentato in forma tabellare, con colonne che rappresentano le tattiche (o i risultati desiderati) utilizzate durante il ciclo di vita di un attacco e righe che rappresentano le tecniche utilizzate per raggiungere gli obiettivi tattici. Il framework documenta inoltre l'utilizzo di tecniche, nonché altri metadati collegati alle singole tecniche.

Il framework MITRE ATT&CK è il risultato di un esperimento MITRE che ha emulato sia l'attacco sia la difesa per aiutare a capire come avvengono gli attacchi e migliorare il rilevamento post-compromissione utilizzando il rilevamento della telemetria e l'analisi comportamentale. Per comprendere meglio l'efficienza del settore nel rilevare i comportamenti degli avversari documentati, è stato creato il framework ATT&CK come strumento per classificare questi comportamenti.

Attualmente sono quattro le matrici principali che compongono il framework ATT&CK. Pre-ATT&CK e ATT&CK for Enterprise sono entrambe relative agli attacchi all'infrastruttura enterprise.

PRE-ATT&CK: molte delle attività (come la ricognizione e lo sviluppo delle risorse) eseguite dai malintenzionati prima che un'azienda sia compromessa vengono normalmente eseguite al di fuori della visibilità dell'organizzazione e quindi queste tattiche e tecniche pre-attacco sono estremamente difficili da rilevare sul momento. Ad esempio, gli hacker possono sfruttare le informazioni liberamente disponibili su Internet, le relazioni che l'organizzazione ha con altre organizzazioni già compromesse o altri metodi per tentare l'accesso. PRE-ATT&CK consente alle organizzazioni che si occupano della difesa di monitorare e comprendere meglio queste attività pre-attacco che si verificano all'esterno del perimetro di rete.

Enterprise ATT&CK: ATT&CK for Enterprise fornisce il modello con il dettaglio delle azioni che gli hacker possono intraprendere per compromettere ed eseguire le proprie attività all'interno di una rete aziendale. La matrice include tattiche e tecniche specifiche per un'ampia gamma di piattaforme, tra cui Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, reti e container. La matrice PRE-ATT&CK originariamente faceva parte di ATT&CK for Enterprise essendo anch'essa incentrata sui tentativi di compromettere l'infrastruttura aziendale. Il framework Enterprise aiuta le organizzazioni a dare la priorità alle difese di rete per concentrarsi su quelle che rappresentano il rischio maggiore per l'azienda specifica.

Mobile ATT&CK: La matrice Mobile ATT&CK descrive le tattiche e le tecniche utilizzate per compromettere i dispositivi mobili iOS e Android. A tal fine, ATT&CK for Mobile si basa sul Mobile Threat Catalogue di NIST e, al momento della stesura di questo documento, cataloga una decina di tattiche e oltre 100 tecniche che sono state utilizzate per colpire i dispositivi mobili e raggiungere qualsiasi obiettivo nefasto che i malintenzionati volevano raggiungere. Inoltre, ATT&CK for Mobile elenca gli effetti basati sulla rete: tattiche e tecniche che possono essere utilizzate senza richiedere l'accesso al dispositivo effettivo.

ICS ATT&CK: La matrice più recente della famiglia ATT&CK è MITRE ATT&CK for Industrial Control Systems (ICS), simile a Enterprise ATT&CK, ma destinata in modo specifico ai sistemi di controllo industriali, come reti elettriche, fabbriche, stabilimenti e altre organizzazioni che si avvalgono di macchine, dispositivi, sensori e reti interconnessi.

Ognuna delle matrici include descrizioni tecniche dettagliate di ogni tecnica utilizzata per ciascuna tattica durante il ciclo di vita dell'attacco, le risorse e i sistemi che ogni tecnica prende di mira e indica gli approcci di mitigazione e contrasto per ciascuno, le analisi di rilevamento utilizzate per scoprire la tecnica ed esempi di utilizzo nel mondo reale.

Durante la visualizzazione delle matrici, le tattiche sono presentate in modo lineare descrivendo il ciclo di vita dell'attacco, a partire dal punto di ricognizione fino all'obiettivo finale, indipendentemente dal fatto che tale obiettivo sia l'esfiltrazione di informazioni, la crittografia dei file per scopi di ransomware o altre azioni malevole.

Il vantaggio principale del framework ATT&CK è che le organizzazioni possono comprendere il modo in cui operano gli hacker e le azioni che intraprendono per ottenere l'accesso iniziale, individuare gli obiettivi, spostarsi lateralmente ed esfiltrare i dati. Ciò consente ai team di visualizzare le attività dal punto di vista dell'hacker, il che può portare a una migliore comprensione delle motivazioni e delle tattiche. In definitiva, le organizzazioni possono sfruttare questa comprensione e questa conoscenza per identificare le lacune nel loro livello di sicurezza e migliorare il rilevamento e la risposta alle minacce, consentendo ai team di prevedere le mosse successive degli hacker in modo che la correzione possa avvenire rapidamente. Negli sport si dice spesso che la miglior difesa è l'attacco, mentre per la sicurezza informatica capire cosa sta mettendo in atto l'hacker può essere di grande aiuto per la difesa della rete, dei dispositivi e degli utenti.

Inoltre, nell'attuale ambiente di lavoro in cui vi è una grave carenza di competenze in materia di sicurezza informatica, i framework possono aiutare il personale addetto alla sicurezza meno esperto o appena assunto, fornendo le conoscenze e gli strumenti di ricerca necessari per affrontare rapidamente qualsiasi minaccia, sfruttando la conoscenza collettiva di tutti i professionisti della sicurezza che prima di loro hanno contribuito alle matrici del framework MITRE ATT&CK.

Poiché le matrici ATT&CK continuano a crescere sia in numero che in dimensioni, sono sempre più complesse. Il numero di combinazioni e permutazioni di tattiche e tecniche nel framework, anche se incredibilmente completo, può essere eccessivo a causa dell'enorme quantità di dati da assimilare ed elaborare.

Ad esempio, attualmente esistono più di 400 tecniche o modelli di attacco diversi descritti nelle 14 tattiche illustrate in ATT&CK for Enterprise. Molte di queste tecniche contengono anche tecniche secondarie che aumentano ulteriormente il numero di permutazioni. Molte organizzazioni non hanno automatizzato la mappatura di tutti questi dati all'attuale infrastruttura di sicurezza, il che può essere un compito arduo.

Un recente studio condotto da UC Berkely ha rilevato che, nonostante quasi tutte le organizzazioni utilizzino il framework per il tagging degli eventi di rete con vari prodotti di sicurezza, nemmeno la metà degli intervistati ha automatizzato le modifiche alle policy di sicurezza indicate dal framework.

Altre sfide includono la difficoltà di correlare gli eventi basati su cloud e on-premise o l'incapacità di correlare gli eventi dai dispositivi mobili e dagli endpoint.

Un recente report del Center for Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti offre un elenco di best practice per consentire alle organizzazioni di utilizzare il framework MITRE ATT&CK per mappare gli attacchi alle tecniche di correzione e protezione. Sebbene lo studio abbia rilevato l'adozione del framework da parte delle grandi aziende, la maggior parte degli utenti non ritiene che i loro attuali prodotti di sicurezza siano in grado di rilevare tutte le minacce note nelle matrici ATT&CK relative alla propria infrastruttura.