Il MITRE ATT&CK quale elemento chiave per la Cyber Threat Intelligence

Il framework MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) è ampiamente utilizzato nell’ambito della cyber threat intelligence come punto di riferimento. Esso consente di descrivere e classificare, in modo standardizzato, le tattiche, le tecniche e le procedure avverse (TTP) basate sull’osservazione del mondo reale. L’organizzazione senza scopo di lucro MITRE Corporation, finanziata a livello federale e con centri di ricerca e sviluppo, ha creato il framework.

Il framework ATT&CK è uno strumento utile per analizzare e comprendere le tattiche e le tecniche impiegate dai threat actors per infiltrarsi, compromettere e rubare informazioni da un sistema o una rete. La sua matrice elenca diverse tattiche e tecniche utilizzate dagli aggressori, come l’accesso iniziale, la persistenza, l’escalation dei privilegi e l’esfiltrazione. Negli ultimi anni, la matrice è stata suddivisa in tre parti separate che coprono le categorie Enterprise, Mobile e ICS (Industrial Control Systems), ciascuna con specifici TTP impiegati nei rispettivi settori. In particolare, la versione Enterprise del framework è quella maggiormente utilizzata dagli analisti, anche se è buona norma esaminare anche le versioni Mobile e ICS, per comprenderne i dettagli.

Il framework MITRE ATT&CK è un’importante risorsa per i cyber analisti, che lo utilizzano per valutare le difese della propria organizzazione e identificare le aree che necessitano di miglioramenti. Comprendendo le tattiche e le tecniche specifiche utilizzate dagli aggressori, i difensori possono adottare misure proattive per migliorare la propria postura di sicurezza e mitigare potenziali minacce. Inoltre, il framework MITRE ATT&CK è uno strumento indispensabile poiché consente la collaborazione nella gestione delle minacce comuni.

Ad esempio, se ACME Security fornisce servizi di sicurezza gestiti a diverse organizzazioni e nota un threat actor che prende di mira diverse di queste organizzazioni utilizzando TTP simili, condividerà le informazioni su tali TTP con la comunità. In questo modo, i team di sicurezza di altre aziende, potranno utilizzare queste informazioni per effettuare ricerche sulle minacce, verificare la disponibilità di indicatori relativi ai TTP e migliorare la propria protezione. Il framework MITRE ATT&CK rappresenta un linguaggio comune per la condivisione dei TTP tra le organizzazioni.

Struttura e utilità del framework

Dopo aver compreso il concetto di base del framework MITRE ATT&CK e la sua utilità, possiamo approfondire gli aspetti tecnici per iniziare ad utilizzarlo autonomamente. Il framework MITRE ATT&CK è una risorsa completa e dettagliata che fornisce una conoscenza approfondita delle tattiche e delle tecniche avversarie. Queste ultime sono organizzate in una struttura gerarchica che prevede la suddivisione delle tecniche sotto una specifica tattica. Allo stesso modo, le procedure rappresentano le azioni specifiche necessarie per eseguire una determinata tecnica.

Le tattiche presenti nel framework rimangono costanti, ma le tecniche sono regolarmente aggiornate, nelle diverse versioni del framework, in base all’emergere di nuovi metodi di hacking.

Le 14 tattiche del MITRE ATT&CK includono:

1. Ricognizione: tecniche utilizzate dagli avversari per raccogliere informazioni su tecnologie o persone, che possono essere utilizzate per supportare il targeting delle vittime, come la scansione di vulnerabilità o il phishing.
2. Sviluppo delle risorse: tecniche utilizzate dagli avversari per creare, acquistare o compromettere / rubare risorse che possono essere utilizzate contro i target, come malware, ransomware, e-mail di phishing e account.
3. Accesso iniziale: tecniche utilizzate per ottenere un punto di ingresso iniziale in un sistema o in una rete, come lo sfruttamento di vulnerabilità o l’utilizzo di metodi di ingegneria sociale.
4. Esecuzione: tecniche utilizzate per eseguire codice dannoso su un sistema, ad esempio l’esecuzione di script o l’installazione di malware.
5. Persistenza: tecniche utilizzate per mantenere l’accesso a un sistema o a una rete per un periodo di tempo più lungo, come la creazione di backdoor o l’installazione di rootkit.
6. Privilege Escalation: tecniche utilizzate per ottenere livelli più elevati di accesso su un sistema o una rete, ad esempio sfruttando le vulnerabilità nel sistema operativo o nelle applicazioni.
7. Evasione delle difese: tecniche utilizzate per eludere il rilevamento da parte dei controlli di sicurezza, come software antivirus o sistemi di rilevamento delle intrusioni.
8. Accesso alle credenziali: tecniche utilizzate per sottrarre o decifrare le credenziali degli utenti, come furto di password o sfruttamento di vulnerabilità nei meccanismi di autenticazione.
9. Individuazione: raccolta di informazioni su un sistema o una rete, ad esempio l’enumerazione degli account utente o la ricerca di porte TCP o UDP aperte.
10. Movimento laterale: tecniche utilizzate per spostarsi lateralmente attraverso una rete, come l’utilizzo di credenziali sottratte e decifrate per accedere ad altri sistemi o l’utilizzo di protocolli di desktop remoto.
11. Raccolta: di dati o informazioni da un sistema o da una rete, come l’esfiltrazione di dati sensibili o l’acquisizione di sequenze di tasti.
12. Comando e controllo: tecniche che gli avversari possono utilizzare per comunicare con i sistemi sotto il loro controllo all’interno di una rete vittima. Gli avversari cercheranno di imitare il normale traffico per mimetizzarsi nell’ambiente di destinazione ed evitare il rilevamento.
13. Esfiltrazione: trasferimento di dati o informazioni da un sistema o da una rete, ad esempio utilizzando canali di comando e controllo o servizi di archiviazione cloud.
14. Impatto: tecniche mirate a compromettere l’integrità e la disponibilità dei processi aziendali e operativi. Ciò spesso comporta la manipolazione o la distruzione dei dati.

Sono illustrati i dettagli tecnici per ogni tattica e tecnica utilizzata dai threat actors. Queste informazioni includono il vettore di attacco, il software o lo strumento utilizzato e l’impatto potenziale sul sistema o sulla rete. Lo scopo è quello di aiutare i difensori a comprendere il panorama delle minacce e a sviluppare strategie di mitigazione efficaci.

Ad esempio, la tattica di accesso iniziale comprende attualmente nove tecniche utilizzate dagli attori delle minacce. Una di queste tecniche è il phishing (T1566), che ha tre sotto-tecniche:

• Allegato per spearphishing (T1566.001)
• Link spearphishing (T1566.002)
• Spearphishing tramite servizio (T1566.003)

Le organizzazioni e le piattaforme di sicurezza emetteranno rapporti di intelligence sulle minacce, che forniranno dettagli sugli incidenti di sicurezza e includeranno un elenco di TTP osservati dagli analisti durante l’indagine sull’incidente. Il team di sicurezza userà il framework MITRE ATT&CK per descrivere le TTP e, se una di esse è stata utilizzata per l’accesso iniziale, ad esempio un allegato di spearphishing (T1566.001), verrà segnalato. Un difensore che legge il rapporto può quindi utilizzare il framework MITRE ATT&CK per identificare mitigazioni specifiche, ad esempio la formazione degli utenti (M1017) o i rilevamenti del traffico di rete (DS0029), che possono proteggere la propria organizzazione da questa tecnica. L’implementazione di mitigazioni e controlli di rilevamento, fa in modo che l’organizzazione possa bloccare gli attacchi. L’aggiornamento costante dei sistemi rappresenta una sfida per i team di sicurezza, utilizzando il descritto flusso di intelligence, i difensori possono continuamente perfezionare i propri sistemi di difesa.

Progetti correlati

Il framework MITRE ATT&CK non è un’entità isolata, ma è accompagnato da una varietà di progetti correlati che aiutano i difensori a utilizzarlo in modo efficace.

Uno di questi progetti è rappresentato dai gruppi di attività monitorati da MITRE. In questo contesto, l’organizzazione tiene traccia di tutti i cluster di attività associati a threat actors noti, fornendo una descrizione dettagliata del gruppo, dei nomi associati, delle tecniche di attacco utilizzate comunemente e del software impiegato. Queste informazioni sono particolarmente utili per gli analisti di intelligence, che possono utilizzarle per comprendere meglio quale gruppo potrebbe prendere di mira la loro organizzazione, identificare le loro TTP preferite e sviluppare una strategia di difesa mirata.

Inoltre, MITRE tiene traccia dei software utilizzati per eseguire attacchi informatici, mappandoli ai threat actors monitorati. Gli analisti possono utilizzare tali informazioni per rendere maggiormente efficaci le proprie difese.

Inoltre, MITRE ha iniziato a tracciare anche le campagne di attacco, ovvero le attività di intrusione che presentano caratteristiche comuni. L’organizzazione utilizza tali connotazioni per mappare le campagne ai gruppi e ai software impiegati, fornendo agli analisti una preziosa fonte di informazioni per identificare e prevenire eventuali attacchi rivolti alle proprie organizzazioni.

Altri progetti correlati al framework

• ATT&CK Navigator: un tool basato su web che consente agli utenti di visualizzare ed esplorare il framework MITRE ATT&CK. Fornisce una rappresentazione grafica del framework per aiutare gli utenti a comprendere e analizzare le tattiche e le tecniche utilizzate dai threat actos per compromettere i sistemi. Gli utenti possono creare e salvare le proprie viste del framework, evidenziare tecniche o tattiche specifiche e aggiungere note e commenti da condividere con altri membri del gruppo.
• CALDERA: un framework open source sviluppato da MITRE per la creazione di piani automatizzati di simulazione avversaria. È progettato per aiutare i team di sicurezza a valutare le difese della loro organizzazione simulando attacchi del mondo reale utilizzando tecniche e tattiche mappate sul framework MITRE ATT&CK. Questo strumento automatizzato include un’interfaccia utente grafica che consente agli utenti di creare e gestire facilmente piani di attacco personalizzati, nonché una gamma di plug-in e moduli per diverse tecniche di attacco. Mostra un attacco in tempo reale e consente ai team di sicurezza di identificare i propri punti deboli in un ambiente controllato.
• CASCADE: un framework di comando e controllo (C2) sviluppato da MITRE per l’uso nelle operazioni di red teaming e nell’emulazione avversaria. Il framework è progettato per consentire ai red teams di creare e gestire rapidamente e facilmente l’infrastruttura C2, consentendo loro di simulare in modo più efficace le azioni di un avversario reale. Come CALDERA, Cascade si basa sul framework MITRE ATT&CK ed è progettato per supportare una vasta gamma di tecniche e tattiche di attacco, essendo altamente modulare. Può essere integrato con altri strumenti e piattaforme per fornire una soluzione completa di emulazione avversaria per i red teams e gli analisti di sicurezza.
• CAR: acronimo di “Cyber Analytics Repository” ed è un knowledge base di modelli, metodi e strumenti analitici, progettati per aiutare i team di sicurezza a rilevare e rispondere alle minacce IT. Contiene una moltitudine di modelli analitici, che sono essenzialmente algoritmi predefiniti e metodologie analitiche per rilevare e rispondere alle minacce informatiche. Questi coprono una vasta gamma di tecniche, tra cui l’apprendimento automatico, l’analisi comportamentale e metodi più tradizionali basati su regole. È destinato ad essere una risorsa aperta e gli utenti sono incoraggiati a contribuire al repository con i propri modelli e metodi.
• ATT&CK espresso in STIX: un progetto che fornisce una versione leggibile dalla macchina del framework MITRE ATT&CK utilizzando il linguaggio STIX (Structured Threat Information eXpression). STIX è un linguaggio standardizzato che consente di condividere e analizzare informazioni strutturate sulle minacce informatiche in modo più efficiente ed efficace. Il progetto comprende un insieme di strumenti e risorse per lavorare con il framework, incluso un server STIX/TAXII che permette l’accesso e la condivisione dei dati ATT&CK, nonché una serie di librerie e API per integrare il framework negli strumenti e nelle piattaforme di sicurezza esistenti.

Il framework MITRE ATT&CK è un’arma potente nelle mani dei professionisti della cyber security, per identificare, prevenire e contrastare le moderne minacce IT, consentendo alle organizzazioni di mantenere i propri sistemi e dati al sicuro, in un panorama sempre più complesso e pericoloso.

Autore: Marco Marra