Che cos'è il framework MITRE ATT&CK?

Il framework ATT&CK illustra in dettaglio il comportamento e la tassonomia degli attacchi avversari nei cicli di vita delle minacce, migliorando la threat intelligence e le operazioni/l'architettura di sicurezza.

Il framework ATT&CK consiste di due parti: ATT&CK for Enterprise, una Knowledge Base dettagliata che copre il comportamento contro le reti IT aziendali e il cloud, e ATT&CK for Mobile, incentrato sul comportamento contro i dispositivi mobili.

MITRE ha creato il framework ATT&CK nel 2013 come mezzo per documentare tattiche, tecniche e procedure comuni (TTP) che fanno parte delle minacce persistenti avanzate (APT) contro le organizzazioni. Si è diffuso nei vari settori come mezzo per creare un modello comune di tassonomia e relazioni per sistemi defender e ricercatori/ricercatrici impegnati a comprendere e difendersi dalle attività di attacco in evoluzione e dai comportamenti "avversari".

Il framework è volto a risolvere quattro problemi principali:

Comportamenti "avversari"

Indicatori tipici come indirizzi IP, domini, chiavi di registro, hash di file e così via possono essere modificati rapidamente dagli utenti malintenzionati e sono utili solo durante la rilevazione. Non indicano il modo in cui gli utenti malintenzionati interagiscono con sistemi diversi, ma solo che vi è stata un'interazione con un sistema in un dato momento. La rilevazione di possibili comportamenti "avversari" aiuta a concentrare le indagini su tattiche e tecniche meno effimere o inaffidabili.

Modelli del ciclo di vita inadatti

I concetti di Adversary lifecycle e di Cyber Kill Chain sono troppo generali per correlare i comportamenti alle difese: un tale livello di astrazione non era utile per mappare i TPP a qualsiasi tipo di nuovo sensore.

Applicabilità agli ambienti reali

È importante basare i TPP su incidenti e campagne osservati per dimostrare l'applicabilità dell'operazione.

Tassonomia comune

I TTP devono essere confrontabili tra i diversi tipi di gruppi "avversari" utilizzando la stessa terminologia.

Il framework ATT&CK funge da autorità per i comportamenti e le tecniche utilizzati dagli/dalle hacker contro le organizzazioni. Elimina le ambiguità e delinea un vocabolario centralizzato per i professionisti e le professioniste del settore, grazie a cui possono discutere e collaborare su come combattere gli utenti malintenzionati e applicare misure pratiche di sicurezza.

Il framework ATT&CK offre maggiore rigore e dettagli rispetto alle tecniche di threat intelligence e agli strumenti di risposta alle minacce, utili per gli attacchi opportunistici e meno mirati. La piramide del dolore spiega come si integra con altri indicatori tipici della realtà odierna.

La "piramide del dolore" è una rappresentazione dei tipi di indicatori di compromissione (IoC) che misura la potenziale utilità della threat intelligence e si concentra sulla risposta agli incidenti e la ricerca delle minacce.

Banale: valori hash

Un valore hash viene generato da algoritmi come MD5 e SHA e rappresenta un file dannoso specifico. Gli hash forniscono riferimenti specifici a malware e file sospetti utilizzati dagli utenti malintenzionati per l'intrusione.

Comportamenti hacker

Facile: indirizzi IP

Gli indirizzi IP sono uno degli indicatori più fondamentali di un attacco dannoso, ma è possibile adottare un indirizzo IP utilizzando un servizio proxy e modificarlo frequentemente.

Semplice: nomi di dominio

Potrebbe essere presente un nome di dominio o persino un tipo di sottodominio registrato, pagato e ospitato. Tuttavia, molti provider di servizi DNS hanno reso meno rigidi gli standard di registrazione.

Fastidioso: artefatti di rete/host

Gli artefatti di rete sono attività che possono identificare un utente malintenzionato e distinguerlo da un utente legittimo. Uno standard potrebbe essere un modello URI o informazioni C2 incorporate nei protocolli di rete.

Gli artefatti host sono elementi osservabili causati da attività "avversarie" su un host che identifica attività dannose e le distingue dalle attività legittime. Tali identificatori includono chiavi o valori di registro noti per essere creati da malware o file/directory rilasciati in determinate aree.

Problematico: strumenti

In genere gli strumenti sono tipi di software utilizzati contro l'azienda da utenti malintenzionati. Possono indicare anche una serie di strumenti forniti con il software per interagire con il codice o il software esistente. Gli strumenti includono utility che creano documenti dannosi per attacchi spear phishing, backdoor che stabiliscono C2, strumenti di password cracking o altre utility che in grado di compromettere il sistema.

Difficile: TTP

Tattiche, tecniche e procedure sono in cima alla piramide. Riguardano l'intero processo in base al quale gli utenti malintenzionati portano a compimento la loro missione, dall'inizio della fase di ricerca fino all'esfiltrazione dei dati, comprendendo tutte le operazioni nel mezzo.

La matrice ATT&CK è una visualizzazione del rapporto tra tattiche e tecniche. Le tattiche costituiscono un'idea generale del perché un utente malintenzionato sta eseguendo un'azione, mentre le tecniche sono le azioni intraprese per supportare la tattica.

Quali sono le tattiche del framework ATT&CK?

Il framework Enterprise ATT&CK presenta 14 tattiche: sono considerate "il perché" dell'equazione. Le tattiche sono classificate come segue:

  • Ricognizione
  • Sviluppo delle risorse
  • Accesso iniziale
  • Esecuzione
  • Persistenza
  • Escalation privilegio
  • Evasione della difesa
  • Accesso alle credenziali
  • Discovery
  • Movimento laterale
  • Raccolta
  • Comando e controllo
  • Esfiltrazione

Quali sono le tecniche del framework ATT&CK?

All'interno di ciascuna tattica è contenuta una serie di tecniche utilizzate da malware o gruppi di minacce nel corso della compromissione di un obiettivo e del raggiungimento dei propri scopi. Il framework ATT&CK prevede 11 tattiche, ma ci sono circa 300 tecniche di cui tenere conto.

Ciascuna delle tecniche presenti nella Knowledge Base contiene informazioni con contesto, come le autorizzazioni necessarie, la piattaforma su cui normalmente viene impiegata la tecnica e come rilevare i comandi e i processi in cui vengono utilizzate.

Threat intelligence

Le difese sono informate in base alle potenziali minacce. La priorità delle tecniche viene assegnata in base alle caratteristiche comuni tra i gruppi e a un'analisi degli scostamenti delle difese attuali rispetto alle minacce comuni.

Rilevazione e analisi

Team viola, origini dati, test, analisi personalizzate e analisi OOB.

Casi di utilizzo del framework Mitre ATT&CK

Simulazione dell'avversario

Comunicazioni con il team blu, variazioni di comportamento del team rosso, simulazione dell'avversario basata su Cyber Threat Intelligence e test di tecniche Atomic.

Valutazioni e progettazione

Valuta le lacune di copertura in base all'utilizzo reale e assegna priorità alle misure di mitigazione e agli investimenti, ad esempio tecniche singole, mitigazioni e fedeltà in più tecniche.

Un aspetto importante del framework ATT&CK è il modo in cui incorpora la Cyber Threat Intelligence (CTI). ATT&CK documenta il comportamento degli utenti malintenzionati in base ai report pubblicamente disponibili per indicare quali gruppi utilizzano quali tecniche. In genere, vi sono singoli report che documentano un incidente o un singolo gruppo, ma ATT&CK si concentra maggiormente su un tipo di attività e tecnica per poi associare hacker e gruppi all'attività, aiutando il personale tecnico a concentrarsi sulle tecniche più utilizzate.

Nel mondo digitale odierno, la capacità di un'organizzazione di prepararsi agli eventi di sicurezza, identificarli, ridurre al minimo il loro impatto e ripristinare il servizio svolge un ruolo chiave per il successo. Pertanto, la risposta agli incidenti di sicurezza integrata con MITRE ATT&CK può contribuire a garantire che l'azienda sia preparata, che abbia accesso alle risorse necessarie per lo sviluppo di modelli e metodologie avanzate contro gli attacchi informatici.

Lavorando all'interno del framework MITRE ATT&CK, i team di sicurezza possono migliorare l'analisi e la risposta agli incidenti nel momento in cui si verificano. Sono in grado di identificare con precisione gli indicatori di compromissione e di assegnare priorità a minacce specifiche. Possono migliorare i workflow automatizzati utilizzando tattiche essenziali e altre risorse estratte dal playbook ATT&CK.

Introduzione a Security Incident Response

MITRE ATT&CK è una soluzione di threat intelligence e modulo SIR per le aziende, che consente di migliorare la risposta agli incidenti e proteggere gli asset preziosi.