Cos'è MITRE ATT&CK ed in che modo è utile

Cos'è MITRE ATT&CK™?

MITRE ha presentato ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013 come modo per descrivere e categorizzare i comportamenti degli avversari in base alle osservazioni del mondo reale. ATT&CK è un elenco strutturato di comportamenti di aggressori noti che è stato compilato in tattiche e tecniche ed espresso in file tabulari oltre che mediante STIX/TAXII. Dal momento che tale elenco è una rappresentazione esaustiva dei comportamenti utilizzati dagli aggressori quando mettono a rischio le reti, è utile per una varietà di controlli, rappresentazioni e per creare meccanismi offensivi e difensivi.

Comprensione delle tabelle ATT&CK

MITRE ha suddiviso ATT&CK in un po' di tabelle diverse: Enterprise, Mobile e PRE-ATT&CK. Ciascuna di queste tabelle contiene varie tattiche e tecniche associate con l'argomento della tabella specifica.

Ad esempio la tabella Enterprise è costituita da tecniche e tattiche valide per i sistemi operativi Windows, Linux e/o Mac. Mobile contiene tattiche e tecniche valide per dispositivi mobili. PRE-ATT&CK contiene tattiche e tecniche correlate a ciò che fanno gli aggressori prima di tentare di sfruttare una rete o un sistema specifici.

Le questioni pratiche di ATT&CK: tattiche e tecniche

Quando si guarda ad ATT&CK sotto forma di tabella, i titoli delle colonne in alto sono le tattiche e sono fondamentalmente categorie di tecniche. Le tattiche sono ciò che gli aggressori tentano di ottenere, mentre le singole tecniche sono come essi mettono in atto tali operazioni.

Tabella ATT&CK Enterprise da https://attack.mitre.org/matrices/enterprise/

Ad esempio, una delle tattiche consiste nel Movimento laterale. Affinché un aggressore possa ottenere correttamente un movimento laterale in una rete, deciderà di utilizzare una o più tecniche fra quelle elencate nella colonna Movimento laterale della tabella ATT&CK.

Una tecnica è un comportamento specifico volto a ottenere un obiettivo e spesso consiste in un'unica fase di una stringa di attività utilizzate per realizzare la missione globale dell'aggressore. ATT&CK fornisce molti dettagli di ciascuna tecnica, compreso una descrizione, degli esempi, riferimenti e consigli per la mitigazione e il rilevamento.

Esempio di una descrizione di tecnica in MITRE ATT&CK

Ecco un esempio di come funzionano tattiche e tecniche in ATT&CK: un aggressore potrebbe voler ottenere l'accesso a una rete e installare un software di ricerca di criptovaluta su quanti più sistemi possibile all'interno di quella rete. Al fine di realizzare questo obiettivo globale, l'aggressore deve portare a termine correttamente una serie di fasi intermedie. Innanzitutto, deve ottenere l'accesso alla rete, possibilmente attraverso un Spearphishing Link. Poi, potrebbe dover aumentare le autorizzazioni attraverso Process Injection. A quel punto, può ottenere altre credenziali dal sistema attraverso dumping delle credenziali e quindi stabilire la persistenza impostando lo script di ricerca affinché esegua come Operazione programmata. Una volta fatto ciò, l'aggressore potrebbe essere in grado di spostarsi lateralmente nella rete con Pass the Hash e diffondere il software di ricerca di valuta nel maggior numero di sistemi possibile.

In questo esempio, l'aggressore ha eseguito correttamente cinque fasi, ciascuna rappresentante una tattica o fase specifica dell'attacco globale: Accesso iniziale, Aumento dei privilegi, Accesso alle credenziali, Persistenza e Movimento laterale. All'interno di tali tattiche, ha usato tecniche specifiche per realizzare ogni fase del suo attacco (link spearphishing, process injection, dumping delle credenziali, ecc.).

Differenze tra PRE-ATT&CK e ATT&CK Enterprise

PRE-ATT&CK e ATT&CK Enterprise si combinano per formare l'elenco completo di tattiche che si verificano per allinearsi grossomodo alla Cyber Kill Chain. PRE-ATT&CK si allinea perlopiù con le prime tre fasi della kill chain: riconoscimento, trasformazione in arma e consegna. ATT&CK Enterprise si allinea bene con le quattro fasi finali della kill chain: sfruttamento, installazione, comando e controllo e azioni sugli obiettivi.

Cyber Kill Chain

Tattiche PRE-ATT&CK	Tattiche ATT&CK Enterprise
Definizione delle priorità Scelta degli obiettivi Raccolta di informazioni Individuazione dei punti deboli Sicurezza delle operazioni dell'avversario Stabilimento e gestione dell'infrastruttura Sviluppo del personaggio Costruzione delle capacità Prova delle capacità Messa in atto delle capacità	Accesso iniziale Esecuzione Persistenza Aumento dei privilegi Evasione delle difese Accesso alle credenziali Scoperta Movimento laterale Raccolta Estrazione Comando e controllo

Cosa si può fare con ATT&CK

ATT&CK risulta prezioso in svariate situazioni di tutti i giorni. Qualsiasi attività difensiva che abbia come bersaglio gli aggressori e i loro comportamenti può trarre vantaggio dall'applicazione della tassonomia di ATT&CK. Oltre a fornire un lessico comune per i difensori cibernetici, ATT&CK offre anche una base per la realizzazione dei test di penetrazione e del red teaming. Ciò offre ai difensori e ai membri del red team un linguaggio comune quando fanno riferimento ai comportamenti dell'avversario.

Possono risultare utili degli esempi di applicazione della tassonomia di ATT&CK:

Mappatura dei controlli difensivi
- I controlli difensivi possono veicolare un significato chiaro quando li si raffronta alle tattiche e tecniche ATT&CK a cui si applicano.
Caccia alle minacce
- La mappatura delle difese su ATT&CK genera un percorso di falle difensive che fornisce ai cacciatori di minacce i luoghi perfetti per rilevare una mancata attività dell'aggressore.
Rilevamenti e indagini
- Il Security Operations Center (SOC) e il team di risposta agli incidenti possono fare riferimento alle tecniche e tattiche ATT&CK rilevate o messe in luce. Ciò contribuisce alla comprensione di dove siano i punti deboli e i punti di forza della difesa e convalida la mitigazione e i controlli di rilevamento, oltre che mettere in luce configurazioni errate e altre problematiche operative.
Riferimento agli autori
- Attori e gruppi possono essere associati a comportamenti specifici e definibili.

Integrazioni di strumenti
- Strumenti e servizi disparati possono standardizzarsi sulle tattiche e tecniche di ATT&CK fornendo coesione a una difesa spesso carente.
Condivisione
- Quando si condividono informazioni su un attacco, un singolo autore o un gruppo, o su controlli difensivi, i difensori possono assicurarsi una comprensione comune usando tecniche e tattiche di ATT&CK.
Attività di Red Teaming/Penetration Test
- La pianificazione, l'esecuzione e il reporting di attività di red teaming, purple teaming e penetration test possono utilizzare ATT&CK per utilizzare un linguaggio comune con i difensori e i destinatari dei report, oltre che tra loro stessi.

Usare ATT&CK per mappare le difese e conoscere le falle

L'inclinazione naturale della maggior parte dei team di sicurezza quando guarda a MITRE ATT&CK è di tentare di sviluppare un qualche tipo di controllo di rilevamento o prevenzione per ciascuna tecnica della tabella aziendale. Sebbene questa non sia una cattiva idea, le sfumature di ATT&CK rendono tale approccio un po' pericoloso se non si tengono presenti alcune avvertenze. Le tecniche delle tabelle di ATT&CK spesso possono essere realizzate in svariati modi. Pertanto, il blocco o il rilevamento di un unico modo per realizzarle non significa necessariamente che esista una copertura per ogni possibile modo per realizzare tale tecnica. Ciò può portare a un falso senso di sicurezza in base al quale poiché uno strumento blocca una forma di utilizzo di una tecnica, tale tecnica è adeguatamente coperta per l'organizzazione. Tuttavia, gli aggressori possono utilizzare con successo altri modi di servirsi di tale tecnica senza alcun rilevamento in essere.

Per risolvere tale problematica, occorre procedere come segue:

Presupporre sempre che esista più di un modo per realizzare una tecnica di ATT&CK
Ricercare e testare i modi noti di realizzare tecniche specifiche e misurare l'efficacia degli strumenti e la visibilità in essere
Registrare con cura i risultati dei test per mostrare dove siano le lacune relative a tale tecnica e quali siano i modi di utilizzo di tale tecnica che è possibile impedire o rilevare
Prendere nota di quali strumenti si dimostrino efficaci in rilevamenti specifici e delle lacune quando non esiste alcuna copertura
Mantenersi aggiornati con i nuovi modi di realizzare le tecniche e accertarsi di testarli confrontandoli con l'ambiente per misurare la copertura

Ad esempio, se l'antivirus rileva la presenza di Mimikatz, ciò non significa che sarete al riparo anche da Pass the Hash (T1075) e Pass the Ticket (T1097), poiché esistono svariati altri modi di realizzare queste tecniche che non comportano l'uso di Mimikatz. Importante tener presente ciò se si tenta di usare ATT&CK per dimostrare la copertura difensiva di un'organizzazione.

Uso di ATT&CK con Threat intelligence informatica

ATT&CK può risultare utile per la Threat intelligence informatica, poiché consente di descrivere i comportamenti degli avversari in modo standard. Gli autori possono essere tracciati con associazioni alle tecniche e tattiche presenti in ATT&CK e che sono noti di aver utilizzato in precedenza. Ciò fornisce ai difensori una mappa da poter applicare confrontandola ai loro controlli operativi per vedere dove siano i punti deboli a fronte di determinati singoli e dove invece siano i punti di forza. La creazione di voci del navigatore MITRE ATT&CK per singoli specifici è un buon modo per visualizzare i punti di forza e i punti deboli dell'ambiente rispetto a quelli di singoli o gruppi. ATT&CK è anche disponibile come STIX/TAXII 2.0 feed che facilita l'assimilazione negli strumenti attuali che supportano tali tecnologie.

ATT&CK fornisce dettagli praticamente su tutti i singoli e i gruppi, incluso su quali tecniche e strumenti questi sono soliti usare in base al reporting open source.

Elenco gruppi di MITRE ATT&CK

Il processo di creazione di informazioni stesso può trarre vantaggio dall'uso del gergo comune di ATT&CK. Come già detto, ciò può valere per singoli e gruppi, ma anche per i comportamenti osservati così come sono visti dal SOC o dalle attività di risposta agli incidenti. Il malware può anch'esso essere considerato in termini di comportamenti via ATT&CK. Qualsiasi strumento di Threat intelligence che disponga di supporto per ATT&CK contribuisce a semplificare questo processo. Anche le informazioni commerciali e open source che applicano ATT&CK a uno qualsiasi dei citati comportamenti sono utili per mantenere l'uniformità. La distribuzione di informazioni alle operazioni o alla gestione è in definitiva molto più facile quando tutte le parti utilizzano lo stesso linguaggio sui comportamenti degli avversari. Se le operazioni sanno esattamente cosa sia l'autenticazione forzata e la vedono citata in un report informativo, potrebbero sapere esattamente quali azioni occorre intraprendere o quali controlli sono già in essere in relazione a tali informazioni. Questa standardizzazione sui riferimenti di ATT&CK nei prodotti informativi può notevolmente migliorare l'efficienza e garantire una comprensione comune.

Simulazione dell'avversario e ATT&CK

La realizzazione di test sulle tecniche di ATT&CK rispetto all'ambiente è il modo migliore di:

Testare i controlli e la loro efficacia
Garantire copertura a fronte di tecniche diverse
Comprendere le lacune di visibilità o protezione
Convalidare la configurazione di strumenti e sistemi
Dimostrare dove i vari singoli potrebbero riuscire o restare intrappolati nell'ambiente
Evitare ipotesi e supposizioni con i controlli sapendo esattamente cosa si rileva o si mitiga e cosa no

Il processo di realizzazione della simulazione dell'avversario non è estraneo a molti ambienti. Quando si utilizzano test di penetrazione per testare l'ambiente, le organizzazioni si impegnano in test di simulazione dell'avversario. Lo stesso vale per le organizzazioni che dispongono di red team interni o che realizzano attività di purple teaming. L'applicazione delle attività di tali ingaggi alle tecniche di ATT&CK aumenta la comprensione dei risultati da parte dei difensori. Invece di segnalare i mancati rilevamenti di determinate attività, il reporting da test di penetrazione e red team può contenere un contesto migliore per applicare le loro attività direttamente ai controlli operativi, agli strumenti difensivi e alle procedure. Ciò facilita ai difensori il compito di implementare le azioni idonee in conseguenza dei report.

Le simulazioni possono essere progettate inoltre per rispecchiare strumenti e tecniche che autori specifici notoriamente usano. Ciò può risultare particolarmente utile quando si tenta di valutare il livello di riuscita che potrebbero avere determinati avversari a fronte dei controlli presenti nell'ambiente.

Inoltre, sono disponibili strumenti che forniscono dei meccanismi per testare determinate tecniche direttamente all'interno dell'ambiente e sono già allineati con ATT&CK. Strumenti commerciali quali Verodin, SafeBreach e AttackIQ forniscono la capacità di realizzare simulazioni dell'avversario allineate con ATT&CK. Esistono alcune opzioni open source per realizzare la simulazione dell'avversario e anche allinearla con ATT&CK (elencate di seguito). Come sempre, occorre essere cauti quando si realizzano simulazioni degli avversari su reti di produzione in cui non è ancora del tutto chiara la portata di possibili ramificazioni.

Il processo per servirsi di questi strumenti è semplice:

Simulare - Scegliere i criteri di simulazione in base al test desiderato, quindi eseguire lo strumento o realizzare manualmente la tecnica
Cacciare - Esaminare i registri e i risultati dello strumento andando in cerca delle prove dell'attività simulata; prendere nota di aspettative mancate con controlli di rilevamento o prevenzione
Rilevare - Aggiungere nuovi rilevamenti o mitigazioni in base ai risultati; prendere inoltre nota di eventuali lacune di visibilità e degli eventuali strumenti usati per il rilevamento o la mitigazione

Pratiche ottimali per l'uso di ATT&CK

Quello che segue è un elenco di pratiche ottimali per ATT&CK.

Usare le tattiche ove le tecniche siano ambigue o difficili da individuare
Seguire la ricerca esterna attorno ai rilevamenti e alle mitigazioni

Condividere i metodi di rilevamento e mitigazione scoperti
Condividere tattiche e tecniche dei comportamenti degli aggressori osservati
Sfruttare l'integrazione ATT&CK in strumenti attuali
Incoraggiare fornitori e service provider ad aggiungere supporto per ATT&CK ove utile

Sfide nell'utilizzo di ATT&CK

L'uso di ATT&CK non è privo di sfide. Sarà bene tenerlo presente quando si utilizza ATT&CK.

Non tutte le tecniche sono sempre dannose
- Esempio: Dati provenienti dall'unità condivisa di rete (T1039)
- Chiave per il rilevamento: In che modo viene richiamata questa tecnica?
Non tutte le tecniche sono facili da rilevare
- Esempio: Spearphishing Link (T1192)
- Chiave per il rilevamento: Altri eventi circostanti la ricezione di email

Alcune tecniche prevedono molti metodi di esecuzione possibili
- Esempio: Dumping delle credenziali (T1003)
- Chiave per il rilevamento: Sviluppare metodi noti di rilevamento della tecnica ed etichettarli tutti come Dumping delle credenziali
- MITRE rilascerà sotto-tecniche per contribuire a risolvere questa problematica
Alcune tecniche sono elencate sotto tattiche multiple
- Esempio: Dirottamento dell'ordine di ricerca dei DLL (T1038)
- Compare sotto le tattiche Persistenza, Aumento dei privilegi ed Evasione delle difese
- Alcune tecniche, quali questa, possono essere usate per casi di uso multiplo e sono utili in fasi multiple di attacco

Strumenti e risorse di ATT&CK

Quello che segue è un elenco di strumenti e altre risorse che si servono di ATT&CK. Alcuni di questi sono stati citati in precedenza, ma vengono forniti qui come facile riferimento. Per far aggiungere qualcosa a questo elenco, inviare un'email a marketing@anomali.com.

Il luogo migliore da cui iniziare con ATT&CK è sempre la pagina web ATT&CK di MITRE.
MITRE gestisce un blog su ATT&CK su Medium.
Esiste una convenzione di sicurezza dedicata ad ATT&CK.
Per domande su ATT&CK, inviare un'email a: attack@mitre.org.

ATT&CK Navigator

ATT&CK Navigator è uno strumento eccezionale da usare per la mappatura dei controlli contro le tecniche di ATT&CK. È possibile aggiungere strati che mostrano in modo specifico controlli di rilevamento, controlli preventivi o perfino comportamenti osservati. Navigator può essere utilizzato online per simulazioni o scenari rapidi oppure può essere scaricato e configurato internamente come soluzione permanente.

MITRE ATT&CK Navigator

Uber Metta

Metta è un progetto open source di Uber che realizza simulazioni dell'avversario ed è allineato con MITRE ATT&CK.

Uber Metta

MITRE Caldera

Caldera è uno strumento di simulazione dell'avversario open source e automatizzato basato su MITRE ATT&CK.

Screenshot di MITRE Caldera

Red Canary Atomic Red Team

Atomic Red Team è uno strumento open source di Red Canary per la simulazione dei comportamenti dell'avversario mappato su MITRE ATT&CK. Ulteriori informazioni disponibili alla pagina: https://atomicredteam.io/

Esempio di test di Atomic Red Team

Endgame Red Team Automation (RTA)

Atomic Red Automation è uno strumento open source di Endgame che testa il comportamento dannoso modellato su MITRE ATT&CK.

Elenco di tecniche attuale supportate da Red Team Automation (RTA)

Promemoria di registrazione di ATT&CK di Malware Archeology

Gli amici di Malware Archeology forniscono un certo numero di promemoria di registrazione di Windows per supportare i difensori nel rilevamento di attività dannose nei log. Ne hanno uno apposta per il rilevamento di tecniche provenienti da MITRE ATT&CK.

Esempio di dettagli inclusi nel Promemoria di registrazione di ATT&CK di Malware Archeology

MITRE Cyber Analytics Repository (CAR)

MITRE ha una risorsa denominata Cyber Analytics Repository (CAR) che è un sito di riferimento per varie analitiche utili per il rilevamento di comportamenti in MITRE ATT&CK.

MITRE Cyber Analytics Repository (CAR)

Tabella ATT&CK di Cyb3rPanda

Cyb3rPanda ha caricato ATT&CK in un'istanza di tabella pubblica per consentire un agevole pivoting e filtraggio.

ATT&CK Enterprise Matrix in una tabella pubblica di Cyb3rPanda

Visualizzatore di manuali della Unit 42 di Palo Alto

Il gruppo Unit 42 di Palo Alto ha rilasciato un visualizzatore di manuali gratuito che mostra comportamenti noti dell'avversario per una manciata di gruppi di minacce allineato a MITRE ATT&CK.

Visualizzatore di manuali della Unit 42 di Palo Alto

Briefing settimanale sulle minacce di Anomali

Il Briefing settimanale sulle minacce di Anomali è un report settimanale gratuito di sviluppi fondamentali sulla sicurezza e di minacce della settimana. Il report include tecniche di IOC e ATT&CK pertinenti per ciascuna storia del briefing.

Esempio di Briefing settimanale sulle minacce di Anomali

Riepilogo

MITRE ha apportato un contributo notevole alla community della sicurezza offrendoci ATT&CK e i relativi strumenti e risorse. Non poteva arrivare in un momento migliore. Man mano che gli aggressori trovano nuovi modi per rendersi più invisibili ed evitare il rilevamento mediante strumenti di sicurezza tradizionali, i difensori si trovano a dover cambiare il modo in cui approcciano il rilevamento e la difesa. ATT&CK sposta la nostra percezione dagli indicatori di livello basso quali gli indirizzi IP e i nomi di dominio e ci fa vedere gli aggressori e le nostre difese attraverso l'obiettivo dei comportamenti. Questa nuova concezione non significa tuttavia che i risultati arriveranno senza sforzo. Sono finiti i bei tempi delle liste di blocchi e dei filtri semplici. La strada del rilevamento e della prevenzione dei comportamenti è un percorso molto più difficile degli strumenti 'mordi e fuggi'. Inoltre, gli aggressori si staranno sicuramente adattando man mano che i difensori mettono in opera nuove competenze. ATT&CK fornisce un modo per descrivere qualunque nuova tecnica essi sviluppino e si spera che i difensori stiano al passo.