La cybersecurity è, oggi, una delle più grandi preoccupazioni per le aziende di tutto il mondo, ma in particolare per quelle italiane, visti i dati poco rassicuranti sul numero di attacchi rivolti alle aziende e alle istituzioni del nostro paese. Nella costante rincorsa fra attaccanti e difensori, la conoscenza delle tecniche di attacco e delle loro contromisure è un bene preziosissimo. Che le aziende possono avere a disposizione grazie al Mitre Att&ck, uno degli strumenti più noti e importanti del campo della cybersecurity.
Ai minimi termini, il Mitre Att&ck è una raccolta di procedure, tecniche e tattiche di attacco utilizzate dagli attaccanti di tutto il mondo. MITRE Corporation, l’organizzazione non a scopo di lucro che lo gestisce e mantiene, lo spiega perfettamente nella sua pagina ufficiale: “MITRE ATT&CK® è una knowledge base accessibile a livello globale di tattiche e tecniche avversarie basate su osservazioni del mondo reale. La knowledge base ATT&CK viene utilizzata come base per lo sviluppo di modelli di minaccia e metodologie specifiche nel settore privato, nella pubblica amministrazione e nella comunità dei prodotti e dei servizi di cybersecurity.”
Gli esperti del settore sottolineano come il principale punto di forza di Mitre Att&ck sia la sua completa adesione al mondo reale: ogni attacco, tecnica e metodologia censita deriva dall’osservazione diretta degli attaccanti. Utilizzare questo framework per la base della propria strategia di difesa significa, insomma, conoscere con precisione cosa aspettarsi in base a ogni comportamento rilevato.
Un’altra delle ragioni del successo del framework Mitre Att&ck è la sua rigida metodicità, che lo rende perfetto per essere utilizzato in strumenti, sia progettuali sia informatici. Per ogni Tattica sono raccolte le Tecniche, ciascuna delle quali rimanda alle sotto-tecniche, alle procedure note che sfruttano ciascuna di esse e infine le possibili mitigazioni. Grazie a questa conoscenza è possibile costruire una strategia di sicurezza perfetta.
Ma come ci si orienta fra le centinaia di tecniche e sotto-tecniche di attacco che conducono a migliaia di procedure?
Non è un caso se alla base di qualsiasi progetto IT, non solo nel campo della Cybersecurity, inizia con un assessment delle risorse in campo. Il Threat Modeling si basa sullo stesso principio: per poter difendere una struttura bisogna prima conoscerla in ogni suo aspetto. Dai flussi di cassa agli asset, organizzati per importanza e priorità, le eventuali proprietà intellettuali e naturalmente l’infrastruttura che le ospita. Tutto, insomma, quello che potrebbe essere di interesse degli attaccanti.
Per ciascuno degli elementi identificati, è necessario comprendere le eventuali debolezze e come la loro compromissione può impattare sulle attività o l’integrità dell’azienda. Terminata questa prima fase, entra in gioco l’uso di Mitre Att&ck.
Conoscendo quali sono gli asset più importanti, è possibile scorrere il framework identificando quali tecniche di attacco si applicano alla nostra organizzazione e infrastruttura. Molto probabilmente il numero di quelle da prendere in considerazione sarà elevato, ma anche in questo la precisa organizzazione del framework ci viene in aiuto.
Infatti, nella pagina ufficiale che gestisce e organizza le tattiche di attacco, queste sono presentate in un ordine ben preciso. Scorrendole da sinistra a destra, infatti, possiamo ricondurle a diverse fasi della compromissione di un sistema. Per fare qualche esempio, Reconnaissance è la prima tattica, Impact l’ultima, Privilege Escalation precede Defense evasion e così via.
In linea strettamente teorica, approntando difese perfette per le tattiche preliminari, si ha la garanzia della sicurezza. Questo tuttavia non è possibile, in alcuni casi perché la mitigazione è fuori portata, in altri perché non si ha la certezza che gli attaccanti non si trovino già a un punto più avanzato della matrice.
A questo punto delineare una strategia richiede considerevoli competenze sul campo e l’uso di tecniche aggiuntive, per esempio la classificazione delle tecniche per difficoltà di esecuzione. Tuttavia, il Mitre Att&ck si configura come uno strumento indispensabile per acquisire la conoscenza necessaria per intraprendere una strategia di difesa.
Dalle tecniche e tattiche individuate nella fase di threat modeling, il passo finale è ingaggiare degli esperti per effettuare una simulazione più reale possibile rispetto ai principali punti di attenzione.
L'integrazione di MITRE ATT&CK nelle operazioni di red teaming consente alle organizzazioni di simulare attacchi realistici e valutare l'efficacia delle loro difese in modo sistematico. Il framework ATT&CK fornisce un repertorio dettagliato di tecniche e tattiche che i red team possono utilizzare per emulare attacchi sofisticati, replicando le strategie degli avversari nel mondo reale. Questo approccio permette di testare la resilienza delle difese aziendali contro scenari di attacco concreti e di identificare le vulnerabilità che potrebbero essere sfruttate dagli attaccanti. Durante un esercizio di red teaming, i professionisti della sicurezza utilizzano MITRE ATT&CK per pianificare e orchestrare attacchi simulati che attraversano l'intero ciclo di vita di un attacco, dalla ricognizione iniziale all'esfiltrazione dei dati. Questa metodologia non solo migliora la consapevolezza delle minacce, ma fornisce anche un feedback prezioso per il miglioramento continuo delle strategie di difesa, assicurando che le organizzazioni siano preparate a fronteggiare le minacce attuali e future con maggiore efficacia.
Nel contesto della cybersecurity, la frase Conosci il tuo nemico assume dunque un significato particolarmente importante. La capacità di anticipare le mosse degli avversari, comprendendo le tecniche e le strategie che potrebbero adottare, è fondamentale per costruire difese efficaci. Il framework Mitre Att&ck è una risorsa inestimabile per le aziende che devono approntare la propria strategia di sicurezza.
L'utilizzo di Mitre Att&ck come strumento di conoscenza e prevenzione si inserisce in un contesto più ampio di gestione del rischio cybersecurity. La capacità di mappare le potenziali minacce in relazione agli asset aziendali critici consente di prioritizzare gli sforzi di difesa, ottimizzando le risorse disponibili.
