2024 Valutazioni MITRE ATT&CK: Trend Vision One™ non lascia agli avversari alcun posto dove nascondersi
MITRE ATT&CK è l'acronimo di Adversarial Tactics, Techniques, and Common Knowledge, è una base di conoscenze pubbliche di tattiche e tecniche avversarie, che può essere utilizzata come base per lo sviluppo di specifici modelli e metodologie di minacce informatiche.
Questa knowledge base è stata sviluppata sulla base dei seguenti tre concetti:
MITRE ATT&CK aiuta il settore a definire e standardizzare come descrivere l'approccio di un aggressore. Raccoglie e classifica tattiche, tecniche e procedure di attacco (TTP) comuni, quindi organizza queste informazioni in un framework.
Il 3° concetto, che richiede un livello di astrazione appropriato per il collegamento tra il metodo di attacco e le contromisure che possono essere implementate dal punto di vista della difesa, è particolarmente importante quando si comprende la struttura di ATT&CK. Le informazioni sono organizzate come informazioni con un elevato grado di astrazione, non informazioni individuali/specifiche come indirizzi IP, URL e informazioni sulla firma del malware.
La base del concetto di fattori è analizzare gli attacchi in base alle cosiddette Tactic, Technique, and Procedure (TTP). Principalmente, la conoscenza delle tecniche viene acquisita e organizzata.
Questo framework può essere utilizzato per aiutare a spiegare come si comportano gli attaccanti, cosa stanno cercando di fare e come stanno agendo per farlo.
Avere un linguaggio e un quadro di riferimento comuni è importante nella capacità di comunicare, comprendere e rispondere alle minacce nel modo più efficiente ed efficace possibile.
MITRE ATT&CK è diventata una base di conoscenze critica per i difensori informatici, migliorando in ultima analisi l'efficienza della sicurezza e i tempi di risposta. La valutazione MITRE annuale confronta l'innovazione a livello di settore per fornire le soluzioni necessarie per rilevare e rispondere al panorama delle minacce in continua evoluzione.
Risorsa da https://attack.mitre.org/resources/
Questo tipo di framework è estremamente utile per i professionisti della sicurezza delle informazioni che aiutano a tenerli aggiornati sulle nuove tecniche di attacco e a impedire che gli attacchi si verifichino in primo luogo.
Le organizzazioni utilizzano ATT&CK per standardizzare le conversazioni della comunità, i test di difesa e le valutazioni di prodotti/servizi.
La valutazione MITRE ATT&CK offre trasparenza ai clienti e scenari di attacco reali. Ciò garantisce che i clienti possano valutare attivamente i prodotti di sicurezza per proteggersi dagli ultimi progressi degli aggressori in base alle loro aree di maggiore necessità. La valutazione utilizza l'emulazione degli avversari per garantire che i clienti possano affrontare le minacce di oggi. Utilizzo di tecniche, strumenti, metodi e obiettivi ispirati a quelli di un aggressore.
Le simulazioni vengono eseguite in un ambiente di laboratorio controllato per garantire test equi e accurati. Le tecniche di attacco vengono quindi utilizzate in modo logico passo dopo passo per esplorare l'ampiezza della copertura ATT&CK.
Le valutazioni non sono un'analisi competitiva. Non ci sono punteggi, classifiche o valutazioni. Al contrario, mostrano come ogni fornitore affronta il rilevamento delle minacce nel contesto della knowledge base ATT&CK
La valutazione offre agli acquirenti e ai clienti di soluzioni di cybersecurity un'opzione imparziale per valutare i prodotti di sicurezza e proteggersi dagli ultimi progressi degli aggressori in base alle loro aree di maggiore necessità.
Ad esempio, nel 2022 la valutazione ha emulato i flussi operativi delle attività di truffa di ragno e truffa per simulare attacchi simili al comportamento utilizzato in natura da questi gruppi. Dopo l'esecuzione della simulazione, i risultati sono stati elaborati e rilasciati pubblicamente, compresa la metodologia
Il framework MITRE ATT&CK è strutturato in più matrici, ciascuna su misura per ambienti specifici in cui operano le minacce informatiche. Queste matrici classificano tattiche, tecniche e procedure (TTP) utilizzate dagli aggressori, aiutando i team di sicurezza a migliorare le loro strategie di difesa.
La matrice più completa, che copre le minacce in ambienti Windows, macOS, Linux e cloud. Include tecniche come l'escalation dei privilegi, il movimento laterale e l'esfiltrazione dei dati.
Concentrato sulle minacce che prendono di mira i dispositivi iOS e Android. Questa matrice descrive in dettaglio le tecniche di attacco come il furto delle credenziali, lo sfruttamento della rete e la persistenza del malware mobile.
Affronta le minacce informatiche specifiche per gli ambienti industriali, come i sistemi SCADA. Evidenzia le tecniche utilizzate per interrompere l'infrastruttura critica, tra cui l'esecuzione di comandi non autorizzati e la manipolazione del firmware.
Le basi di ATT&CK sono una serie di tecniche che rappresentano le azioni che un aggressore deve intraprendere per raggiungere un obiettivo. Gli obiettivi sono classificati come tattiche.
La tattica rappresenta il "perché" della tecnica. È il motivo per cui un aggressore esegue un'azione. Una tecnica è la "media" che un aggressore può utilizzare per raggiungere un obiettivo eseguendo un'azione. Rappresenta anche "Cosa" acquisisce l'aggressore.
Quando si considera il dominio di Enterprise come analogia, la Tattica è la seguente:
Il framework MITRE ATT&CK classifica le tecniche degli avversari utilizzate negli attacchi informatici. Le tecniche chiave includono:
La comprensione di queste tecniche aiuta le organizzazioni a rafforzare le difese di sicurezza.
Le tattiche sono la descrizione di ciò che gli aggressori stanno cercando di ottenere.
Le tattiche sono simili a un capitolo di un libro. Un CISO può delineare una storia che vuole raccontare con le tattiche di alto livello utilizzate in un attacco e poi fare riferimento alle tecniche per raccontare la storia di come ha portato a termine l'attacco, fornendo dettagli aggiuntivi
L'obiettivo dell'aggressore era ottenere l'accesso iniziale alla rete. Utilizzando una compromissione drive-by con un collegamento di spear-phishing e una relazione affidabile, l'aggressore ha ottenuto l'accesso iniziale utilizzando questa tecnica.
Nota: Il framework elenca tutti i modi noti in cui un aggressore può ottenere l'accesso iniziale.
La soluzione mappa i prodotti che devono rispettare il framework ATT&CK, mostrando tattiche e tecniche sui rilevamenti che dimostrano come possiamo aiutarti ad affrontare le sfide del rilevamento e della risposta alle minacce
I controlli preventivi sono una parte importante di una strategia di mitigazione delle minacce che aggiunge resilienza quando è sotto attacco. I controlli preventivi sono stati testati nell'ultimo round con la capacità di deflettere il rischio in anticipo, consentendo alle organizzazioni di dedicare più tempo a problemi di sicurezza più difficili
MITRE ATT&CK è progettato per fornire un livello più profondo di granularità nella descrizione di ciò che può accadere durante un attacco che è un passo avanti rispetto alla Cyber Kill Chain
La Cyber Kill Chain è composta da sette fasi:
MITRE ATT&CK consente di organizzare le tecnologie dal punto di vista dell'aggressore e di fare riferimento alle contromisure dal punto di vista della difesa. Pertanto, sono descritti i seguenti casi d'uso.
L'emulazione di un aggressore. Dai gruppi nel database, estrai le tecniche e gli scenari di attacco utilizzati da uno specifico aggressore, rileva una serie di attacchi e verifica se esistono misure difensive contro tali attacchi.
Crea scenari di attacco per gli esercizi informatici. Il red team svolge il ruolo dell'aggressore, il blue team svolge il ruolo della difesa e il white team svolge il ruolo di controllo e giudizio.
Invece di IoC e informazioni sulle minacce note, utilizza la knowledge base di ATT&CK e analizza tecniche e modelli di azione sconosciuti per sviluppare nuove contromisure.
Identifica ciò che è carente nelle contromisure esistenti di un'organizzazione. Determinare le priorità per gli investimenti.
Determinare l'efficacia del rilevamento, dell'analisi e della risposta da parte del SOC.
L'analista può comprendere in profondità le azioni di un gruppo di aggressori e segnalarle. È possibile identificare chiaramente il tipo di strumenti che un gruppo specifico ha utilizzato, il tipo di tecnologia e la procedura che il gruppo ha utilizzato quando ha iniziato gli attacchi, recuperando i dati dal database.
Anche se si tratta di un campo professionale, il sito web di MITRE ATT&CK fornisce anche un'applicazione chiamata ATT&CK Navigator, che consente di creare una matrice secondo le finalità descritte sopra.
Nel 2024, MITRE Engenuity ha aumentato il livello di abilità, simulando le tecniche di attacco più moderne del mondo reale fino ad oggi. Dire che Trend Micro ha schiacciato l'incarico è una sottostima.
Le incredibili prestazioni del 2024 in MITRE Engenuity ATT&CK Evaluations sono la nostra quinta di seguito e includono alcuni dei punteggi più alti mai registrati per qualsiasi fornitore.
Con oltre 161 miliardi di minacce bloccate nel 2023, un aumento del 10% rispetto al 2022, una maggiore visibilità del rischio è fondamentale per bloccare in modo proattivo anche gli attacchi più avanzati.
Le valutazioni di quest'anno si sono concentrate sulle tattiche, tecniche e procedure (TTP) di DPRK, CL0P e LockBit, tre delle minacce ransomware più sofisticate e pericolose in circolazione.