Che cos'è il Framework MITRE ATT&CK?

2024 Valutazioni MITRE ATT&CK: Trend Vision One™ non lascia agli avversari alcun posto dove nascondersi

MITRE ATT&CK Framework

MITRE ATT&CK è l'acronimo di Adversarial Tactics, Techniques, and Common Knowledge, è una base di conoscenze pubbliche di tattiche e tecniche avversarie, che può essere utilizzata come base per lo sviluppo di specifici modelli e metodologie di minacce informatiche. 

Questa knowledge base è stata sviluppata sulla base dei seguenti tre concetti: 

  • Mantiene la prospettiva dell'avversario 
  • Segue l'uso dell'attività nel mondo reale attraverso esempi di uso empirico 
  • Il livello di astrazione è appropriato per colmare l'azione offensiva con possibili azioni difensive 

MITRE ATT&CK aiuta il settore a definire e standardizzare come descrivere l'approccio di un aggressore. Raccoglie e classifica tattiche, tecniche e procedure di attacco (TTP) comuni, quindi organizza queste informazioni in un framework. 

Il 3° concetto, che richiede un livello di astrazione appropriato per il collegamento tra il metodo di attacco e le contromisure che possono essere implementate dal punto di vista della difesa, è particolarmente importante quando si comprende la struttura di ATT&CK. Le informazioni sono organizzate come informazioni con un elevato grado di astrazione, non informazioni individuali/specifiche come indirizzi IP, URL e informazioni sulla firma del malware. 

La base del concetto di fattori è analizzare gli attacchi in base alle cosiddette Tactic, Technique, and Procedure (TTP). Principalmente, la conoscenza delle tecniche viene acquisita e organizzata. 

  •  Tattica: Un obiettivo a breve termine di un aggressore 
  •  Tecnica: I mezzi per un aggressore per raggiungere un obiettivo 
  •  Procedura: Un metodo specifico per un aggressore di utilizzare le tecniche 

Questo framework può essere utilizzato per aiutare a spiegare come si comportano gli attaccanti, cosa stanno cercando di fare e come stanno agendo per farlo. 

Avere un linguaggio e un quadro di riferimento comuni è importante nella capacità di comunicare, comprendere e rispondere alle minacce nel modo più efficiente ed efficace possibile. 

MITRE ATT&CK è diventata una base di conoscenze critica per i difensori informatici, migliorando in ultima analisi l'efficienza della sicurezza e i tempi di risposta. La valutazione MITRE annuale confronta l'innovazione a livello di settore per fornire le soluzioni necessarie per rilevare e rispondere al panorama delle minacce in continua evoluzione.

Risorsa da https://attack.mitre.org/resources/

 

Questo tipo di framework è estremamente utile per i professionisti della sicurezza delle informazioni che aiutano a tenerli aggiornati sulle nuove tecniche di attacco e a impedire che gli attacchi si verifichino in primo luogo. 

Le organizzazioni utilizzano ATT&CK per standardizzare le conversazioni della comunità, i test di difesa e le valutazioni di prodotti/servizi.

Valutazioni MITRE ATT&CK

La valutazione MITRE ATT&CK offre trasparenza ai clienti e scenari di attacco reali. Ciò garantisce che i clienti possano valutare attivamente i prodotti di sicurezza per proteggersi dagli ultimi progressi degli aggressori in base alle loro aree di maggiore necessità. La valutazione utilizza l'emulazione degli avversari per garantire che i clienti possano affrontare le minacce di oggi. Utilizzo di tecniche, strumenti, metodi e obiettivi ispirati a quelli di un aggressore.  

Le simulazioni vengono eseguite in un ambiente di laboratorio controllato per garantire test equi e accurati. Le tecniche di attacco vengono quindi utilizzate in modo logico passo dopo passo per esplorare l'ampiezza della copertura ATT&CK.  

Le valutazioni non sono un'analisi competitiva. Non ci sono punteggi, classifiche o valutazioni. Al contrario, mostrano come ogni fornitore affronta il rilevamento delle minacce nel contesto della knowledge base ATT&CK 

La valutazione offre agli acquirenti e ai clienti di soluzioni di cybersecurity un'opzione imparziale per valutare i prodotti di sicurezza e proteggersi dagli ultimi progressi degli aggressori in base alle loro aree di maggiore necessità. 

Ad esempio, nel 2022 la valutazione ha emulato i flussi operativi delle attività di truffa di ragno e truffa per simulare attacchi simili al comportamento utilizzato in natura da questi gruppi. Dopo l'esecuzione della simulazione, i risultati sono stati elaborati e rilasciati pubblicamente, compresa la metodologia

Matrici MITRE ATT&CK 

Il framework MITRE ATT&CK è strutturato in più matrici, ciascuna su misura per ambienti specifici in cui operano le minacce informatiche. Queste matrici classificano tattiche, tecniche e procedure (TTP) utilizzate dagli aggressori, aiutando i team di sicurezza a migliorare le loro strategie di difesa.

Matrice aziendale

La matrice più completa, che copre le minacce in ambienti Windows, macOS, Linux e cloud. Include tecniche come l'escalation dei privilegi, il movimento laterale e l'esfiltrazione dei dati.

Matrice mobile

Concentrato sulle minacce che prendono di mira i dispositivi iOS e Android. Questa matrice descrive in dettaglio le tecniche di attacco come il furto delle credenziali, lo sfruttamento della rete e la persistenza del malware mobile.

Matrice ICS (Industrial Control Systems)

Affronta le minacce informatiche specifiche per gli ambienti industriali, come i sistemi SCADA. Evidenzia le tecniche utilizzate per interrompere l'infrastruttura critica, tra cui l'esecuzione di comandi non autorizzati e la manipolazione del firmware.

Tattiche MITRE ATT&CK

Le basi di ATT&CK sono una serie di tecniche che rappresentano le azioni che un aggressore deve intraprendere per raggiungere un obiettivo. Gli obiettivi sono classificati come tattiche. 

La tattica rappresenta il "perché" della tecnica. È il motivo per cui un aggressore esegue un'azione. Una tecnica è la "media" che un aggressore può utilizzare per raggiungere un obiettivo eseguendo un'azione. Rappresenta anche "Cosa" acquisisce l'aggressore. 

Quando si considera il dominio di Enterprise come analogia, la Tattica è la seguente: 

  • Accesso iniziale: Metodi utilizzati dagli aggressori per infiltrarsi in una rete, come phishing, compromissione della catena di fornitura e sfruttamento di applicazioni rivolte al pubblico. 
  • Esecuzione: Tecniche che eseguono codice dannoso su un sistema, tra cui l'esecuzione della riga di comando, lo scripting e lo sfruttamento per l'esecuzione del client. 
  • Persistenza: Metodi utilizzati dagli aggressori per mantenere l'accesso dopo la compromissione iniziale, come la creazione di nuovi account utente, le modifiche al registro e le attività pianificate. 
  • Escalation dei privilegi: I modi in cui gli aggressori ottengono autorizzazioni di livello superiore, come lo sfruttamento delle vulnerabilità, il dumping delle credenziali e la manipolazione dei token di accesso. 
  • Elusione della difesa: Tecniche per aggirare le misure di sicurezza, tra cui la disabilitazione degli strumenti di sicurezza, l'offuscamento dei file e l'iniezione dei processi. 
  • Accesso alle credenziali: Metodi per rubare le credenziali, come keylogging, attacchi di forza bruta e dumping delle credenziali. 
  • Scoperta: Tattiche utilizzate per raccogliere informazioni su un sistema o una rete, come la scansione della rete e l'enumerazione degli account. 
  • Movimento laterale: Tecniche per spostarsi tra i sistemi, come il protocollo desktop remoto (RDP) e gli attacchi pass-the-hash. 
  • Collezione: Metodi per raccogliere dati sensibili, tra cui acquisizione dello schermo, keylogging e dati da database locali. 
  • Esfiltrazione: Modi per trasferire i dati rubati fuori da una rete, come l'esfiltrazione crittografata e l'abuso del cloud storage. 
  • Impatto: Tecniche volte a interrompere le operazioni, tra cui la distribuzione di ransomware, la distruzione dei dati e gli attacchi di rifiuto dei servizi.

Tecniche MITRE ATT&CK

Il framework MITRE ATT&CK classifica le tecniche degli avversari utilizzate negli attacchi informatici. Le tecniche chiave includono: 

  • Accesso iniziale: metodi come il phishing e lo sfruttamento di applicazioni pubbliche per ottenere l'accesso. 
  • Esecuzione: esecuzione di codice dannoso tramite riga di comando o script. 
  • Persistenza: mantenimento dell'accesso tramite modifiche al registro o attività pianificate. 
  • Privilege Escalation: acquisizione di privilegi più elevati utilizzando exploit o dumping delle credenziali. 
  • Elusione della difesa: bypassare la sicurezza con strumenti offuscati o disabilitanti. 
  • Movimento laterale: diffusione attraverso le reti tramite RDP o pass-the-hash. 
  • Esfiltrazione: furto di dati utilizzando l'abuso del cloud o trasferimenti crittografati. 

La comprensione di queste tecniche aiuta le organizzazioni a rafforzare le difese di sicurezza. 

Anatomia del framework MITRE ATT&CK

Le tattiche sono la descrizione di ciò che gli aggressori stanno cercando di ottenere. 

Le tattiche sono simili a un capitolo di un libro. Un CISO può delineare una storia che vuole raccontare con le tattiche di alto livello utilizzate in un attacco e poi fare riferimento alle tecniche per raccontare la storia di come ha portato a termine l'attacco, fornendo dettagli aggiuntivi

https://www.trendmicro.com/explore/knowledge-hub/knowledgehub-xdr/01436-v1-en-rpt

Esempio di storia: Costruire una storia di attacco in un linguaggio comune

L'obiettivo dell'aggressore era ottenere l'accesso iniziale alla rete. Utilizzando una compromissione drive-by con un collegamento di spear-phishing e una relazione affidabile, l'aggressore ha ottenuto l'accesso iniziale utilizzando questa tecnica.  

Nota: Il framework elenca tutti i modi noti in cui un aggressore può ottenere l'accesso iniziale.

In che modo può essere utile una soluzione di cybersecurity?

La soluzione mappa i prodotti che devono rispettare il framework ATT&CK, mostrando tattiche e tecniche sui rilevamenti che dimostrano come possiamo aiutarti ad affrontare le sfide del rilevamento e della risposta alle minacce

E per quanto riguarda la prevenzione?

I controlli preventivi sono una parte importante di una strategia di mitigazione delle minacce che aggiunge resilienza quando è sotto attacco. I controlli preventivi sono stati testati nell'ultimo round con la capacità di deflettere il rischio in anticipo, consentendo alle organizzazioni di dedicare più tempo a problemi di sicurezza più difficili

MITRE ATT&CK vs Cyber Kill Chain

MITRE ATT&CK è progettato per fornire un livello più profondo di granularità nella descrizione di ciò che può accadere durante un attacco che è un passo avanti rispetto alla Cyber Kill Chain 

La Cyber Kill Chain è composta da sette fasi: 

  • Riconoscimento 
  • Intrusione 
  • Sfruttamento 
  • Esecuzione dei privilegi 
  • Movimento laterale 
  • Offuscamenti / Antiforensi 
  • Negazione del servizio 
  • Esfiltrazione

Casi d'uso di MITRE ATT&CK

MITRE ATT&CK consente di organizzare le tecnologie dal punto di vista dell'aggressore e di fare riferimento alle contromisure dal punto di vista della difesa. Pertanto, sono descritti i seguenti casi d'uso.

Emulazione avversario

L'emulazione di un aggressore. Dai gruppi nel database, estrai le tecniche e gli scenari di attacco utilizzati da uno specifico aggressore, rileva una serie di attacchi e verifica se esistono misure difensive contro tali attacchi.

Red Teaming

Crea scenari di attacco per gli esercizi informatici. Il red team svolge il ruolo dell'aggressore, il blue team svolge il ruolo della difesa e il white team svolge il ruolo di controllo e giudizio.

Sviluppo dell'analisi comportamentale

Invece di IoC e informazioni sulle minacce note, utilizza la knowledge base di ATT&CK e analizza tecniche e modelli di azione sconosciuti per sviluppare nuove contromisure.

Valutazione delle lacune di difesa

Identifica ciò che è carente nelle contromisure esistenti di un'organizzazione. Determinare le priorità per gli investimenti.

Valutazione della maturità del SOC

Determinare l'efficacia del rilevamento, dell'analisi e della risposta da parte del SOC.

Arricchimento Cyber Threat Intelligence

L'analista può comprendere in profondità le azioni di un gruppo di aggressori e segnalarle. È possibile identificare chiaramente il tipo di strumenti che un gruppo specifico ha utilizzato, il tipo di tecnologia e la procedura che il gruppo ha utilizzato quando ha iniziato gli attacchi, recuperando i dati dal database. 

Anche se si tratta di un campo professionale, il sito web di MITRE ATT&CK fornisce anche un'applicazione chiamata ATT&CK Navigator, che consente di creare una matrice secondo le finalità descritte sopra. 

Risultati MITRE ATT&CK 2024 per la sicurezza aziendale

Rilevamento al 100% di tutte le principali fasi di attacco

Nel 2024, MITRE Engenuity ha aumentato il livello di abilità, simulando le tecniche di attacco più moderne del mondo reale fino ad oggi. Dire che Trend Micro ha schiacciato l'incarico è una sottostima. 

Le incredibili prestazioni del 2024 in MITRE Engenuity ATT&CK Evaluations sono la nostra quinta di seguito e includono alcuni dei punteggi più alti mai registrati per qualsiasi fornitore. 

 Con oltre 161 miliardi di minacce bloccate nel 2023, un aumento del 10% rispetto al 2022, una maggiore visibilità del rischio è fondamentale per bloccare in modo proattivo anche gli attacchi più avanzati. 

Le valutazioni di quest'anno si sono concentrate sulle tattiche, tecniche e procedure (TTP) di DPRK, CL0P e LockBit, tre delle minacce ransomware più sofisticate e pericolose in circolazione. 

Related Research