Pianifica una demo

Suite di prodotti Anomali

I prodotti per la sicurezza basati sull'intelligence di Anomali offrono una visibilità sulle minacce senza precedenti e un rilevamento accelerato, consentendo ai clienti di ridurre il rischio di violazioni della sicurezza e di migliorare la produttività dei team di sicurezza.

Per saperne di più

I nostri prodotti

ThreatStream

Rendi immediatamente operativa la threat intelligence disponibile in un'unica piattaforma, per velocizzare il rilevamento delle minacce e adottare misure di difesa proattive.

Match

Automatizza il rilevamento delle minacce sulla tua rete correlando continuamente la threat intelligence disponibile a tutti i registri degli eventi.

Lens

Accedi alle informazioni di threat intelligence sempre a portata di mano, identifica le nuove e già note minacce, scopri se sei stato coinvolto in pochi secondi.

L'App Store Anomali

Un marketplace unico nel suo genere, che offre accesso immediato a un catalogo in continua crescita di provider di threat intelligence, partner di integrazione e strumenti di analisi delle minacce.

Per saperne di più

Offerte del marketplace

Feed di threat intelligence

Prova e acquista i feed di threat intelligence forniti dai partner Anomali: trova l'intelligence più efficace per la tua organizzazione, settore, area geografica, tipo di minaccia e altro ancora.

Strumenti e arricchimento dei dati per l'analisi delle minacce

Procurati gli strumenti per passare rapidamente dalle singole informazioni alla ricerca di altre fonti di dati e ottieni un quadro completo di una minaccia, tutto a portata di un clic.

Partner dei sistemi di sicurezza

Anomali si integra perfettamente con molti sistemi IT e di sicurezza per rendere operativa la threat intelligence.

Per i partner

Cosa sono gli SDK Anomali

Diventa un partner dell'APP Store

Panoramica dei partner

Anomali offre vantaggi competitivi e nuove opportunità di profitto ai partner che desiderano migliorare il proprio portafoglio di prodotti con la nostra piattaforma di threat intelligence leader del mercato.

Per saperne di più

Iscriviti oggi stesso

Canale dei rivenditori

MSSP

Integratori di sistemi

Ricerca in primo piano

Risorse

Schede tecniche

Schede tecniche dei partner

Argomenti

Che cos'è la threat intelligence?

Condivisione di threat intelligence

Piattaforma di threat intelligence (TIP)

STIX/TAXII

MITRE ATT&CK

Strumenti gratuiti

Informazioni su Anomali

Anomali offre soluzioni di sicurezza informatica basate su intelligence, tra cui ThreatStream®, Match™ e Lens™. Le aziende utilizzano Anomali per migliorare la loro visibilità sulle minacce, automatizzare il rilevamento e l'elaborazione delle stesse, nonché la ricerca, la risposta e la risoluzione.

Per saperne di più

Anomali al lavoro

Leadership

Notizie ed eventi

Premi

Contattaci

Richiedi una demo

Opportunità di lavoro

Che cos'è MITRE ATT&CK e perché è utile

Che cos'è MITRE ATT&CK™?

MITRE ha presentato ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013 come strumento per descrivere e classificare i comportamenti avversari in base alle osservazioni del mondo reale. ATT&CK è un elenco strutturato di comportamenti noti da parte di utenti malintenzionati, che sono stati compilati come tattiche e tecniche ed inseriti in matrici di semplice utilizzo e in STIX/TAXII. Poiché questo elenco è una rappresentazione abbastanza completa dei comportamenti che gli utenti malintenzionati utilizzano quando compromettono le reti, ci è utile per avere una rappresentazione dei meccanismi di attacco e di difesa.

Descrizione delle matrici ATT&CK

MITRE ha suddiviso ATT&CK in alcune matrici diverse: Enterprise, Mobile e PRE-ATT&CK. Ciascuna di queste matrici contiene tattiche e tecniche associate al dominio di quella matrice.

La matrice Enterprise è composta da tecniche e tattiche applicabili a Windows, Linux e/o ai sistemi MacOS. Mobile contiene tattiche e tecniche applicabili ai dispositivi mobili. PRE-ATT&CK contiene tattiche e tecniche correlate alle attività che gli utenti malintenzionati mettono in atto prima di tentare di sfruttare una particolare rete o sistema.

Aspetti pratici di ATT&CK: tattiche e tecniche

Quando si osserva ATT&CK sotto forma di matrice, i titoli delle colonne in alto sono tattiche e sono essenzialmente categorie di tecniche. Le tattiche sono il risultato che gli utenti malintenzionati cercano di ottenere mentre le singole tecniche rappresentano il metodo tramite cui realizzano questi passaggi o raggiungono gli obiettivi.

ATT&CK Enterprise Matrix
Matrice Enterprise ATT&CK da https://attack.mitre.org/matrices/enterprise/

Ad esempio, una delle tattiche è il movimento laterale. Per ottenere con successo il movimento laterale in una rete, gli utenti malintenzionati impiegheranno una o più tecniche elencate nella colonna Movimento laterale nella matrice ATT&CK.

Una tecnica è un comportamento specifico per raggiungere un obiettivo e spesso è una singola tappa in una serie di attività impiegate per portare a termine la missione complessiva dell'utente malintenzionato. ATT&CK fornisce molti dettagli su ciascuna tecnica, tra cui una descrizione, esempi, riferimenti e suggerimenti per la mitigazione e il rilevamento.

Technique description in MITRE ATT&CK
Esempio di descrizione di una tecnica in MITRE ATT&CK

Esempio di funzionamento di tattiche e tecniche in ATT&CK: l'utente malintenzionato potrebbe voler accedere a una rete e installare un software di estrazione di criptovaluta sul maggior numero possibile di sistemi all'interno di tale rete. Per raggiungere questo obiettivo generale, l'utente malintenzionato deve eseguire con successo una serie di passaggi intermedi. Per prima cosa, accedere alla rete, eventualmente tramite un Link di spear phishing. Successivamente, potrebbe essere necessario scalare i privilegi tramite il processo di iniezione. A questo punto, può ottenere altre credenziali dal sistema tramite il dump delle credenziali (creazione file di dettagli delle credenziali), quindi stabilire la persistenza impostando lo script di estrazione da eseguire come attività pianificata. In questo modo, l'utente malintenzionato può spostarsi lateralmente sulla rete con la tecnica Pass the Hash e distribuire il software di estrazione della valuta su quanti più sistemi possibile.

In questo esempio, l'utente malintenzionato doveva eseguire con successo cinque passaggi, ciascuno dei quali rappresentava una tattica o una fase specifica dell'attacco complessivo: accesso iniziale, escalation dei privilegi, accesso alle credenziali, persistenza e movimento laterale. Ha utilizzato tecniche specifiche comprese in queste tattiche per completare ogni passaggio dell'attacco (link di spear phishing, processo di iniezione, dump delle credenziali e così via).

Differenze tra PRE-ATT&CK e ATT&CK Enterprise

PRE-ATT&CK e ATT&CK Enterprise si integrano per creare l'elenco completo delle tattiche necessarie per allinearsi approssimativamente con la Cyber Kill Chain. PRE-ATT&CK si allinea principalmente con le prime tre fasi della kill chain: studio, armamento e consegna. ATT&CK Enterprise si allinea perfettamente con le quattro fasi finali della kill chain: sfruttamento, installazione, comando e controllo e azioni sugli obiettivi.

Cyber Kill Chain

Tattiche PRE-ATT&CK	Tattiche ATT&CK Enterprise
Definizione delle priorità Selezione degli obiettivi Raccolta di informazioni Identificazione dei punti deboli Sicurezza delle operazioni dell'avversario Creazione e gestione dell'infrastruttura Sviluppo dell'utente Costruzione delle capacità Verifica delle capacità Attuazione delle capacità	Accesso iniziale Esecuzione Persistenza Escalation dei privilegi Evasione delle difese Accesso alle credenziali Scoperta Movimento laterale Raccolta Esfiltrazione Comando e controllo

Cosa consente di fare ATT&CK?

ATT&CK è utile in diverse situazioni quotidiane. Qualsiasi attività di difesa correlata agli utenti malintenzionati e ai loro comportamenti non può che trarre vantaggio dall'applicazione della tassonomia di ATT&CK. Oltre a fornire un lessico comune per i difensori informatici, ATT&CK offre anche una base peri i test di penetrazione e il red teaming. Ciò consente ai difensori e ai membri del team rosso di utilizzare un linguaggio comune quando fanno riferimento ai comportamenti dell'avversario.

Esempi in cui l'applicazione della tassonomia di ATT&CK può risultare utile:

Mappatura dei controlli difensivi
- I controlli difensivi possono veicolare un significato chiaro quando rapportati alle tattiche e tecniche ATT&CK a cui si applicano.
Ricerca delle minacce
- La mappatura delle difese esistenti su ATT&CK genera una rappresentazione delle lacune difensive, fornendo ai Threat Hunter luoghi perfetti per rilevare attacchi informatici non precedentemente riconosciuti.
Rilevamenti e indagini
- Il Security Operations Center (SOC) e il team di risposta agli incidenti possono fare riferimento alle tecniche e tattiche ATT&CK rilevate o scoperte. Ciò consente di comprendere quali siano i punti deboli e i punti di forza della difesa e di convalidare la mitigazione e i controlli di rilevamento, oltre che di mettere in luce configurazioni errate e altre problematiche operative.
Collegamento con gli autori
- Autori e gruppi possono essere associati a comportamenti specifici e definibili.

Integrazioni di strumenti
- Strumenti e servizi disparati possono standardizzarsi sulle tattiche e tecniche di ATT&CK fornendo coesione a una difesa che ne è spesso carente.
Condivisione
- Quando si condividono informazioni su un attacco, un autore o gruppo malintenzionato o su controlli difensivi, i difensori possono assicurarsi una comprensione comune usando tecniche e tattiche di ATT&CK.
Attività di red teaming/test di penetrazione
- Per la pianificazione, l'esecuzione e il reporting di attività del team rosso, team viola e di test di penetrazione è possibile utilizzare ATT&CK per parlare un linguaggio comune con i difensori e i destinatari dei report, oltre che tra di loro.

Utilizzare ATT&CK per mappare le difese e conoscere le lacune

La maggior parte dei team di sicurezza è naturalmente portato a pensare che con MITRE ATT&CK serva a tentare di sviluppare un qualche tipo di controllo di rilevamento o prevenzione per ciascuna tecnica della matrice Enterprise. Seppur non sbagliato, le sfumature di ATT&CK rendono tale approccio un po' pericoloso se non si tengono presenti alcune precisazioni. Le tecniche delle matrici di ATT&CK possono essere spesso implementate in diversi modi. Pertanto, il blocco o il rilevamento di un'unica modalità per realizzarle non significa necessariamente che esista una copertura per ogni possibile modo di realizzare quella tecnica. Ciò può portare a un falso senso di sicurezza in base al quale poiché uno strumento blocca una forma di utilizzo di una tecnica, tale tecnica è adeguatamente coperta per l'organizzazione Tuttavia, gli utenti malintenzionati possono utilizzare con successo altri modi per servirsi di tale tecnica senza che sia implementata alcuna misura di rilevamento o prevenzione.

Per risolvere questo problema, è necessario procedere come segue:

Presupporre sempre che esista più di un modo per realizzare una tecnica di ATT&CK
Ricercare e testare i modi noti per realizzare tecniche specifiche e misurare l'efficacia degli strumenti e la visibilità adottati
Registrare con cura i risultati dei test per mostrare dove siano le lacune relative a tale tecnica e quali siano i modi di utilizzo di tale tecnica che è possibile impedire o rilevare
Prendere nota di quali strumenti si dimostrino efficaci in rilevamenti specifici e delle lacune quando non esiste alcuna copertura
Mantenersi aggiornati sui i nuovi modi di realizzare le tecniche e accertarsi di testarli nel contesto aziendale per misurarne la copertura

Ad esempio, se l'antivirus rileva la presenza di Mimikatz, ciò non significa che si è al riparo anche da Pass the Hash (T1075) e Pass the Ticket (T1097), poiché esistono svariati altri modi di realizzare queste tecniche che non comportano l'uso di Mimikatz. Tenere presente questo aspetto se si tenta di usare ATT&CK per mostrare la copertura difensiva di un'organizzazione.

Utilizzo di ATT&CK con la Cyber Threat Intelligence

ATT&CK può risultare utile per la Cyber Threat Intelligence poiché consente di descrivere i comportamenti degli avversari in un modo standard. Gli autori possono essere tracciati in quanto associabili alle tecniche e tattiche presenti in ATT&CK utilizzate in precedenza. Ciò fornisce ai difensori una roadmap da poter applicare nei loro controlli operativi per valutare i punti deboli rispetto a determinati autori e i punti di forza. La creazione di voci MITRE ATT&CK Navigator per specifici autori consente di visualizzare i punti forti e deboli dell'ambiente rispetto a tali autori o gruppi. ATT&CK è anche disponibile come feed STIX/TAXII 2.0 che facilita l'inserimento negli strumenti attuali che supportano tali tecnologie.

ATT&CK fornisce dettagli su circa settanta autori o gruppi, incluse le tecniche e gli strumenti che questi utilizzano in base al reporting open source.

Elenco dei gruppi MITRE ATT&CK

Il processo stesso di creazione dell'intelligence può trarre vantaggio dall'utilizzo del dialetto comune di ATT&CK. Come accennato, ciò può essere applicato ad autori e gruppi, ma può anche essere applicato ai comportamenti osservati dalla SOC o alle attività di risposta agli incidenti. Si può anche far riferimento al malware in termini di comportamenti tramite ATT&CK. Tutti gli strumenti di Threat Intelligence che supportano ATT&CK aiutano a semplificare questo processo. Anche l'intelligence commerciale e open source che applica ATT&CK a qualsiasi comportamento menzionato è utile a mantenere la coerenza. Diffondere l'intelligence alle operazioni o alla gestione è in definitiva molto più semplice quando tutte le parti usano la stessa lingua quando parlano di comportamenti avversari. Se le operazioni sanno esattamente che cos'è l'autenticazione forzata e la vedono menzionata in un report di intelligence, possono sapere esattamente quali azioni devono essere intraprese o quali controlli sono già in atto per quel componente di intelligence. Questa standardizzazione dei riferimenti ATT&CK nei prodotti di intelligence può migliorare notevolmente l'efficienza e garantire una comprensione comune.

Simulazione dell'avversario e ATT&CK

Testare le tecniche in ATT&CK nel contesto aziendale è il modo migliore per:

Testare i controlli e la loro efficacia
Garantire la copertura contro le diverse tecniche
Comprendere le lacune in termini di visibilità o protezione
Convalidare la configurazione di strumenti e sistemi
Dimostrare in che modo diversi autori potrebbero avere successo o essere catturati nell'ambiente
Evitare supposizioni con i controlli sapendo invece esattamente cosa viene o non viene rilevato o mitigato

Il processo di esecuzione della simulazione avversaria non è estraneo a molti ambienti. Quando si utilizzano i tester di penetrazione per testare l'ambiente, le organizzazioni si impegnano in test di simulazione avversari. Lo stesso vale per le organizzazioni che hanno team rossi interni o che eseguono interazioni di team viola. L'applicazione delle attività di queste interazioni alle tecniche ATT&CK migliora la comprensione dei risultati da parte dei difensori. Invece di segnalare gli errori per rilevare determinate attività, i report dei test di penetrazione e dei team rossi possono contenere un contesto migliore per applicare le loro attività direttamente ai controlli operativi, agli strumenti difensivi e alle procedure. In questo modo, i difensori possono intraprendere azioni appropriate in base ai report.

Le simulazioni possono essere progettate anche per rispecchiare strumenti e tecniche noti utilizzati da autori specifici. Ciò può essere particolarmente utile quando si tenta di valutare il successo di determinati avversari rispetto ai controlli presenti nell'ambiente.

Inoltre, sono disponibili strumenti che forniscono meccanismi per testare determinate tecniche direttamente all'interno dell'ambiente e sono già allineati con ATT&CK. Strumenti commerciali come Verodin, SafeBreach e AttackIQ offrono la possibilità di eseguire una simulazione degli avversari allineata con ATT&CK. Esistono alcune opzioni open source per eseguire la simulazione avversaria e anche per allinearsi con ATT&CK (elencate di seguito). Come sempre, prestare attenzione durante l'esecuzione di simulazioni avversarie sulle reti di produzione in cui non si è in grado di comprendere del tutto la portata delle potenziali conseguenze.

Il processo di utilizzo di questi strumenti è semplice:

Simulazione: scegliere i criteri di simulazione in base al test desiderato, quindi eseguire lo strumento oppure applicare la tecnica manualmente.
Ricerca: esaminare i registri o i risultati degli strumenti per verificare l'attività simulata; annotare le aspettative mancanti con i controlli preventivi o di rilevamento
Rilevamento: aggiungere nuovi rilevamenti o mitigazioni in base ai risultati; prendere nota anche di eventuali lacune in termini di visibilità e degli strumenti utilizzati per il rilevamento o la mitigazione

Best practice per l'utilizzo di ATT&CK

Di seguito è riportato un elenco delle best practice per ATT&CK.

Utilizzare le tattiche le cui tecniche sono ambigue o difficili da rintracciare
Seguire ricerche esterne relative a rilevamenti e mitigazioni

Condividere i metodi scoperti di rilevamento e mitigazione
Condividere le tattiche e le tecniche dei comportamenti degli utenti malintenzionati osservati
Sfruttare l'integrazione ATT&CK negli strumenti esistenti
Incoraggiare i fornitori e i provider di servizi ad aggiungere il supporto di ATT&CK dove utile

Problemi nell'utilizzo di ATT&CK

L'utilizzo di ATT&CK non è privo di problemi che è bene tener presente.

• Non tutte le tecniche sono sempre dannose
- Esempio: Dati provenienti dall'unità condivisa in rete (T1039)
- Chiave per il rilevamento: In che modo viene richiamata questa tecnica?
Non tutte le tecniche sono facili da rilevare
- Esempio: Link di spear phishing (T1192)
- Chiave per il rilevamento: Altri eventi che racchiudono la ricezione di e-mail

Alcune tecniche prevedono molti metodi di esecuzione possibili
- Esempio: Dump delle credenziali (T1003)a>
- Chiave per il rilevamento: Sviluppare metodi noti di rilevamento della tecnica ed etichettarli come dump delle credenziali
- MITRE rilascerà tecniche secondarie per risolvere questo problema
Alcune tecniche sono elencate sotto più tattiche
- Esempio: hijack dell'ordine di ricerca dei DLL (T1038)
- Viene visualizzato nelle tattiche di persistenza, escalation dei privilegi ed evasione delle difese
- Alcune tecniche, come questa, possono essere utilizzate per molti casi d'uso e sono utili in molte fasi di attacco

Strumenti e risorse di ATT&CK

Di seguito è disponibile un elenco di strumenti e altre risorse che utilizzano ATT&CK. Alcune di queste sono state menzionate in precedenza ma vengono fornite qui per un riferimento rapido. Per aggiungere elementi a questo elenco, inviare un'e-mail a marketing@anomali.com.

Il modo migliore per iniziare a utilizzare ATT&CK è consultare la pagina Web ATT&CK di MITRE.
MITRE gestisce un blog su ATT&CK su Medium.
Esiste una convenzione di sicurezza dedicata a ATT&CK.
Per eventuali domande su ATT&CK, inviare un'e-mail a attack@mitre.org.

ATT&CK Navigator

ATT&CK Navigator è un ottimo strumento da utilizzare per la mappatura dei controlli rispetto alle tecniche ATT&CK. È possibile aggiungere livelli che mostrano controlli di rilevamento specifici, controlli preventivi o comportamenti osservati. Navigator può essere utilizzato online per mock-up o scenari rapidi oppure può essere scaricato e impostato internamente come soluzione più permanente.

MITRE ATT&CK Navigator

Uber Metta

Metta è un progetto open source di Uber che esegue la simulazione avversaria ed è in linea con MITRE ATT&CK.

MITRE Caldera

Caldera è uno strumento di simulazione degli avversari automatizzato e open source basato su MITRE ATT&CK.

Screenshot di MITRE Caldera

Red Canary Atomic Red Team

Atomic Red Team è uno strumento open source di Red Canary per simulare i comportamenti avversari mappati su MITRE ATT&CK. Ulteriori informazioni sono disponibili all'indirizzo: https://atomicredteam.io/

Esempio di test di Atomic Red Team

Endgame Red Team Automation

Red Team Automation è uno strumento open source di EndGame che verifica il comportamento dannoso modellato su MITRE ATT&CK.

Elenco aggiornato delle tecniche supportate da Red Team Automation (RTA)

Scheda di riferimento rapido di accesso Windows di Malware Archeology

Malware Archeology fornisce una serie di schede di riferimento rapido di accesso Windows per aiutare i difensori a rilevare attività dannose nei registri. Una di queste è dedicata a trovare tecniche da MITRE ATT&CK.

Esempio di dettagli inclusi nella scheda di riferimento rapido di accesso ATT&CK da Malware Archeology

MITRE Cyber Analytics Repository (CAR)

MITRE dispone di una risorsa denominata Cyber Analytics Repository (CAR), un sito di riferimento per varie analisi utili per il rilevamento dei comportamenti in MITRE ATT&CK.

MITRE Cyber Analytics Repository (CAR)

Tabella ATT&CK di Cyb3rPanda

CYB3rPanda ha caricato ATT&CK in un'istanza di tabella pubblica per facilitare la rotazione e il filtraggio.

Matrice Enterprise di ATT&CK in una tabella pubblica di Cyb3rPanda

Visualizzatore della guida Unit 42 di Palo Alto

Il gruppo Unit 42 di Palo Alto ha pubblicato uno strumento gratuito per visualizzare "Plays", una riproduzione di campagne di attacchi informatici che mostrano comportamenti di avversari noti catalogati nel MITRE ATT&CK.

Visualizzatore della guida di Unit 42 Palo Alto

Anomali Cyber Watch

Anomali Cyber Watch è un rapporto settimanale gratuito sugli sviluppi principali della settimana relativi alla sicurezza informatica e alle minacce. Il report include importanti IOC e tecniche ATT&CK per ogni storia nel briefing.

Esempio di Anomali Cyber Watch

Riepilogo

Con ATT&CK e i relativi strumenti e risorse, MITRE ha contribuito in modo significativo alla community della sicurezza proprio in un momento in cui ce ne è bisogno. Poiché gli utenti malintenzionati stanno trovando modalità per nascondersi meglio ed evitare il rilevamento da parte di strumenti di sicurezza tradizionali, i difensori si ritrovano a dover cambiare il loro approccio al rilevamento e alla difesa. ATT&CK sposta la nostra percezione da indicatori di basso livello come indirizzi IP e nomi di dominio e consente di vedere gli utenti malintenzionati e le nostre difese attraverso la lente dei comportamenti. Questa nuova percezione non significa però che i risultati saranno facili. I tempi degli elenchi di blocco e dei semplici filtri sono ormai finiti. Il percorso di rilevamento e prevenzione dei comportamenti è molto più difficile rispetto agli strumenti fire-and-forget del passato. Inoltre, gli utenti malintenzionati si adatteranno sicuramente man mano che i difensori mostreranno nuove capacità di difesa. ATT&CK offre un modo per descrivere le nuove tecniche sviluppate dagli autori e fare in modo che i difensori stiano al passo.