Cos'è MITRE ATT&CK e come è utile?

Che cos'è MITRE ATT&CK™?

MITRA introdotto ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) nel 2013 come un modo per descrivere e classificare i comportamenti contraddittori sulla base di osservazioni del mondo reale. ATT&CK è un elenco strutturato di comportamenti noti degli aggressori che sono stati raccolti in tattiche e tecniche ed espressi in una manciata di matrici e tramite STIX/TAXI. Poiché questo elenco è una rappresentazione abbastanza completa dei comportamenti utilizzati dagli aggressori quando compromettono le reti, è utile per una varietà di misurazioni, rappresentazioni e altri meccanismi offensivi e difensivi.

Comprensione delle matrici ATT&CK

MITRE ha suddiviso ATT&CK in diverse matrici: Enterprise, Cellularee PRE-ATT&CK. Ognuna di queste matrici contiene varie tattiche e tecniche associate all'argomento di quella matrice.

La matrice Enterprise è costituita da tecniche e tattiche che si applicano ai sistemi Windows, Linux e/o macOS. Mobile contiene tattiche e tecniche applicabili ai dispositivi mobili. PRE-ATT&CK contiene tattiche e tecniche relative a ciò che fanno gli aggressori prima cercano di sfruttare una particolare rete o sistema bersaglio.

I principi fondamentali di ATT&CK: tattiche e tecniche

Quando si esamina ATT&CK sotto forma di matrice, i titoli delle colonne nella parte superiore sono tattiche e sono essenzialmente categorie di tecniche. Le tattiche sono cosa gli aggressori stanno cercando di ottenere mentre le singole tecniche sono le come realizzano quei passaggi o obiettivi.

Ad esempio, una delle tattiche è Movimento laterale. Affinché un utente malintenzionato riesca a ottenere con successo il movimento laterale in una rete, vorrà utilizzare una o più delle tecniche elencate nella colonna Movimento laterale della matrice ATT&CK.

UN tecnica è un comportamento specifico per raggiungere un obiettivo ed è spesso un singolo passaggio di una serie di attività impiegate per completare la missione complessiva dell'attaccante. ATT&CK fornisce molti dettagli su ciascuna tecnica, tra cui una descrizione, esempi, riferimenti e suggerimenti per la mitigazione e il rilevamento.

A webpage with a description of a Drive-by Compromise.

Esempio di descrizione della tecnica in MITRE ATT&CK

Come esempio di come funzionano le tattiche e le tecniche in ATT&CK, un utente malintenzionato potrebbe voler accedere a una rete e installare software di mining di criptovalute su quanti più sistemi possibile all'interno di quella rete. Per raggiungere questo obiettivo generale, l'aggressore deve eseguire con successo diversi passaggi intermedi. Innanzitutto, accedi alla rete, possibilmente tramite un Link di spearphishing. Successivamente, potrebbero dover aumentare i privilegi tramite Iniezione di processo. Ora possono ottenere altre credenziali dal sistema tramite Dumping delle credenziali e quindi stabilire la persistenza impostando lo script di mining in modo che venga eseguito come Attività pianificata. Fatto ciò, l'aggressore potrebbe essere in grado di spostarsi lateralmente attraverso la rete con Passa l'hash e diffondere il loro software per minare monete su quanti più sistemi possibile.

In questo esempio, l'aggressore ha dovuto eseguire con successo cinque passaggi, ognuno dei quali rappresentava uno specifico tattica o fase del loro attacco complessivo: Accesso iniziale, Escalation dei privilegi, Accesso con credenziali, Persistenzae Movimento laterale. Hanno usato specifici tecniche all'interno di queste tattiche per portare a termine ogni fase del loro attacco (link di spearphishing, iniezione di processi, dumping delle credenziali, ecc.).

Le differenze tra PRE-ATT&CK e ATT&CK Enterprise

PRE-ATT&CK e ATT&CK Enterprise si uniscono per formare l'elenco completo delle tattiche che si allineano grosso modo con Cyber Kill Chain. PRE-ATT&CK si allinea principalmente alle prime tre fasi della catena di uccisioni: ricognizione, armamento e consegna. ATT&CK Enterprise si allinea bene con le ultime quattro fasi della kill chain: sfruttamento, installazione, comando e controllo e azioni sugli obiettivi.

Steps indication from Pre Attack to Enterprise
Tattiche PRE-ATT&CK
Definizione di priorità
Selezione del bersaglio
Raccolta di informazioni
Identificazione dei punti deboli
OpSec avversario
Stabilire e mantenere l'infrastruttura
Sviluppo della persona
Capacità di creazione
Capacità di test
Funzionalità del palco
Tattiche aziendali ATT&CK
Accesso iniziale
Esecuzione
Persistenza
Escalation dei privilegi
Evasione della difesa
Accesso con credenziali
Scoperta
Movimento laterale
Collezione
Esfiltrazione
Comando e controllo

Cosa si può fare con ATT&CK?

ATT&CK è utile in una varietà di contesti quotidiani. Qualsiasi attività difensiva che faccia riferimento agli aggressori e ai loro comportamenti può trarre vantaggio dall'applicazione della tassonomia di ATT&CK. Oltre a offrire un lessico comune per i difensori informatici, ATT&CK fornisce anche una base per i test di penetrazione e il red teaming. Ciò fornisce ai difensori e ai Red Teamer un linguaggio comune quando si riferiscono a comportamenti contraddittori.

Esempi in cui può essere utile applicare la tassonomia di ATT&CK:

Mappatura dei controlli difensivi

I controlli difensivi possono avere un significato ben compreso se confrontati con le tattiche e le tecniche ATT&CK a cui si applicano.

Integrazioni di strumenti

Strumenti e servizi disparati possono standardizzare le tattiche e le tecniche ATT&CK, conferendo coesione a una difesa che spesso manca.

Caccia alle minacce

Mappando le difese su ATT&CK si ottiene una tabella di marcia delle lacune difensive che forniscono ai threat hunter i luoghi perfetti per individuare le attività mancate degli attaccanti.

Condivisione

Quando condividono informazioni su un attacco, su un attore o gruppo o sui controlli difensivi, i difensori possono garantire una comprensione comune utilizzando tecniche e tattiche ATT&CK.

Rilevamenti e indagini

Il Security Operations Center (SOC) e il team di risposta agli incidenti possono fare riferimento alle tecniche e alle tattiche ATT&CK che sono state rilevate o scoperte. Ciò aiuta a comprendere i punti di forza e di debolezza della difesa e a convalidare i controlli di mitigazione e rilevamento e può scoprire configurazioni errate e altri problemi operativi.

Integrazioni di strumenti

La pianificazione, l'esecuzione e la segnalazione delle attività di red team, purple team e penetration test possono utilizzare ATT&CK per parlare un linguaggio comune con i difensori e i destinatari delle segnalazioni e tra di loro.

Attori di riferimento

Attori e gruppi possono essere associati a comportamenti specifici e definibili.

Utilizzo di ATT&CK per mappare le difese e comprendere le lacune

L'inclinazione naturale della maggior parte dei team di sicurezza quando esaminano MITRE ATT&CK è cercare di sviluppare un qualche tipo di controllo di rilevamento o prevenzione per ciascuna tecnica nella matrice aziendale. Anche se non si tratta di una pessima idea, le sfumature di ATT&CK rendono questo approccio un po' pericoloso se non si tengono presenti alcuni avvertimenti. Le tecniche nelle matrici ATT&CK possono spesso essere eseguite in vari modi. Quindi bloccare o rilevare un solo modo per eseguirle non significa necessariamente che ci sia una copertura per ogni possibile modo di eseguire quella tecnica. Ciò può portare a un falso senso di sicurezza, pensando che, poiché uno strumento blocca una forma di utilizzo di una tecnica, tale tecnica sia adeguatamente coperta dall'organizzazione. Tuttavia, gli aggressori possono ancora impiegare con successo altri modi per impiegare quella tecnica senza che venga eseguita alcuna rilevazione o prevenzione.

Il modo per risolvere questo problema è il seguente:

Supponiamo sempre che ci sia più di un modo per eseguire una tecnica ATT&CK
Ricerca e sperimenta metodi noti per eseguire tecniche specifiche e misurare l'efficacia degli strumenti e la visibilità in uso
Registra attentamente i risultati dei test per mostrare dove esistono lacune per quella tecnica e quali modi di impiegare quella tecnica possono essere prevenuti o rilevati
Annota quali strumenti si dimostrano efficaci in determinati rilevamenti e nota le lacune in cui non c'è alcuna copertura
Resta aggiornato sui nuovi modi di eseguire le tecniche e assicurati di testarle rispetto all'ambiente per misurare la copertura

Ad esempio, se l'antivirus rileva la presenza di Mimikatz, ciò non significa che Pass the Hash (T1075) e Pass the Ticket (T1097) siano coperti, poiché ci sono ancora molti altri modi per eseguire queste tecniche che non prevedono l'uso di Mimikatz. Tienilo a mente se cerchi di utilizzare ATT&CK per mostrare la copertura difensiva in un'organizzazione.

Utilizzo di ATT&CK con informazioni sulle minacce informatiche

ATT&CK può essere utile per l'intelligence sulle minacce informatiche in quanto consente di descrivere i comportamenti contraddittori in modo standard. Gli attori possono essere monitorati associando le tecniche e le tattiche di ATT&CK che sono noti per l'utilizzo. Questo fornisce ai difensori una tabella di marcia da applicare ai controlli operativi per vedere dove hanno punti deboli rispetto a determinati attori e quali sono i loro punti di forza. Creare schede MITRE ATT&CK Navigator per attori specifici è un buon modo per visualizzare i punti di forza e di debolezza dell'ambiente rispetto a tali attori o gruppi. ATT&CK è disponibile anche come Alimentazione STIX/TAXII 2.0 il che semplifica l'integrazione negli strumenti esistenti che supportano tali tecnologie.

ATT&CK fornisce dettagli su quasi settanta attori e gruppi, comprese le tecniche e gli strumenti che sono noti per utilizzare in base alla reportistica open source.

A webpage with a list of groups and their descriptions.

Elenco del gruppo MITRE ATT&CK

Lo stesso processo di creazione dell'intelligence può trarre vantaggio dall'uso del vernacolo comune di ATT&CK. Come accennato, ciò può valere per attori e gruppi, ma può valere anche per i comportamenti osservati visti dal SOC o dalle attività di risposta agli incidenti. Il malware può essere indicato anche in termini di comportamenti tramite ATT&CK. Tutti gli strumenti di threat intelligence che supportano ATT&CK aiutano a semplificare questo processo. L'intelligence commerciale e open source che applica ATT&CK a tutti i comportamenti menzionati è utile anche per mantenere le cose coerenti. Diffondere l'intelligenza nelle operazioni o nella gestione è in definitiva molto più semplice quando tutte le parti parlano la stessa lingua sui comportamenti contraddittori. Se le operazioni sanno esattamente cosa Autenticazione forzata è e lo vedono menzionato in un rapporto di intelligence, potrebbero sapere esattamente quali azioni dovrebbero essere intraprese o quali controlli sono già in atto riguardo a quel pezzo di intelligence. La standardizzazione dei riferimenti ATT&CK nei prodotti di intelligence in questo modo può migliorare notevolmente l'efficienza e garantire una comprensione comune.

Simulazione avversaria e ATT&CK

Testare le tecniche di ATT&CK rispetto all'ambiente è il modo migliore per:

Controlli dei test e loro efficacia
Garantire la copertura contro diverse tecniche
Comprendi le lacune nella visibilità o nella protezione
Convalida la configurazione di strumenti e sistemi
Dimostrare dove i diversi attori avrebbero successo o sarebbero intrappolati nell'ambiente
Evita ipotesi e ipotesi con i controlli sapendo esattamente cosa viene rilevato o mitigato e cosa no

Il processo di esecuzione della simulazione del contraddittorio non è estraneo a molti ambienti. Quando impiegano penetration tester per testare l'ambiente, le organizzazioni si impegnano in test di simulazione contraddittori. Lo stesso vale per le organizzazioni che hanno team rossi interni o che svolgono incarichi in team viola. L'applicazione delle attività di questi impegni alle tecniche ATT&CK aumenta la comprensione dei risultati da parte dei difensori. Invece di segnalare gli errori nell'individuazione di determinate attività, i report provenienti dai pen test e dai red team possono contenere un contesto migliore per applicare le proprie attività direttamente ai controlli operativi, agli strumenti difensivi e alle procedure. In questo modo è più facile per i difensori intraprendere le azioni appropriate a seguito delle segnalazioni.

Le simulazioni possono essere progettate per rispecchiare strumenti e tecniche noti per essere utilizzati anche da attori specifici. Ciò può essere particolarmente utile quando si cerca di valutare il successo di determinati avversari rispetto ai controlli presenti nell'ambiente.

Inoltre, sono disponibili strumenti che forniscono meccanismi per testare determinate tecniche direttamente all'interno dell'ambiente e sono già allineati con ATT&CK. Strumenti commerciali come Verodin, BRECCIA SICURAe AttackIQ fornire la capacità di eseguire simulazioni contraddittorie in linea con ATT&CK. Esistono alcune opzioni open source per eseguire simulazioni contraddittorie e allinearsi anche con ATT&CK (elencate di seguito). Come sempre, fate attenzione quando eseguite simulazioni contraddittorie su reti di produzione in cui la portata delle potenziali ramificazioni non è completamente compresa.

Il processo per utilizzare questi strumenti è semplice:

  1. Simula — Scegli i criteri di simulazione in base al test desiderato, quindi esegui lo strumento o esegui la tecnica manualmente
  2. Caccia — Esamina i registri e l'output degli strumenti per verificare l'attività simulata; annota le aspettative mancate con controlli investigativi o preventivi
  3. Rileva — Aggiungere nuovi rilevamenti o mitigazioni in base ai risultati; annotare anche eventuali lacune di visibilità e tutti gli strumenti utilizzati per il rilevamento o la mitigazione

Le migliori pratiche per l'utilizzo di ATT&CK

Di seguito è riportato un elenco delle migliori pratiche per ATT&CK:

Usare tattiche in cui le tecniche sono ambigue o difficili da definire

Condividi metodi scoperti di rilevamento e mitigazione

Condividi tattiche e tecniche dei comportamenti osservati degli aggressori

Sfruttare Integrazione ATT&CK negli strumenti esistenti

Incoraggiare fornitori e fornitori di servizi per aggiungere il supporto per ATT&CK laddove sarebbe utile

Sfide legate all'utilizzo di ATT&CK

L'utilizzo di ATT&CK non è privo di sfide. È bene tenerli a mente quando si sfrutta ATT&CK.

Non tutte le tecniche sono sempre dannose

Non tutte le tecniche sono sempre dannose

Alcune tecniche sono elencate in più tattiche

  • Esempio: Dirottamento degli ordini di ricerca DLL (T1038)
  • Viene visualizzato nelle tattiche Persistence, Privilege Escalation e Defense Evasion
  • Alcune tecniche, come questa, possono essere utilizzate per molteplici casi d'uso e sono utili in più fasi di attacco

Non tutte le tecniche sono facili da rilevare

Alcune tecniche hanno molti possibili metodi di esecuzione.

Strumenti e risorse ATT&CK

Di seguito è riportato un elenco di strumenti e altre risorse che utilizzano ATT&CK. Alcuni di questi sono stati menzionati in precedenza ma sono forniti qui per una facile consultazione. Per aggiungere qualcosa a questo elenco, invia un'email a

Il posto migliore per iniziare con ATT&CK è sempre Pagina web ATT&CK di MITRE.
MITRE mantiene un blog su ATT&CK su Medium.
Per qualsiasi domanda riguardante ATT&CK, invia e-mail a: attack@mitre.org.

Navigatore ATT&CK

ATT&CK Navigator è un ottimo strumento da utilizzare per mappare i controlli rispetto alle tecniche ATT&CK. È possibile aggiungere livelli che mostrano specificamente i controlli investigativi, i controlli preventivi o persino i comportamenti osservati. Navigator può essere utilizzato online per prototipi o scenari rapidi o può essere scaricata e configurato internamente come soluzione più permanente.

A dashboard screenshot displaying a table with colored cells in white, green, yellow, and blue.

Navigatore MITRE ATT&CK

A table displaying techniques, ids, and data sources columns with various types of data.

Esempio di dettagli inclusi nel cheat sheet di ATT&CK Logging di Malware Archeology

Cheat sheet sulla registrazione di Windows ATT&CK per l'archeologia del malware

I professionisti di fiducia di Malware Archeology forniscono una serie di cheat sheet di registrazione di Windows per aiutare i difensori a trovare attività dannose nei log. Ne hanno uno dedicato alla ricerca delle tecniche di MITRE ATT&CK.

Informazioni su Metta

Metta è un progetto open source di Uber che esegue simulazioni contraddittorie ed è allineato con MITRE ATT&CK.

A screenshot of a computer screen displaying a list of files in GitHub.
A Wikipedia page that is about 'Welcome to the Cyber Analytics Repository'.

Archivio di analisi informatica MITRE (CAR)

Archivio di analisi informatica MITRE (CAR)

MITRE dispone di una risorsa chiamata Cyber Analytics Repository (CAR) che è un sito di riferimento per varie analisi utili per rilevare i comportamenti in MITRE ATT&CK.

Caldera MITRE

Caldera è uno strumento di simulazione degli avversari automatizzato e open source basato su MITRE ATT&CK.

Dashboard with various circles representing different data points and operations overview.

Immagine della schermata di MITRE Caldera

A chart showing the number of attacks on different platforms.

ATT&CK Enterprise Matrix in un Tableau pubblico di CYB3RPanda

Tavolo Tableau ATT&CK di CYB3RPanda

CYB3RPanda ha caricato ATT&CK in un'istanza pubblica di Tableau per semplificare il pivoting e il filtraggio.

Red Canary Atomic Red Team

Atomic Red Team è uno strumento open source di Red Canary per simulare comportamenti contraddittori mappati su MITRE ATT&CK. Maggiori informazioni sono disponibili all'indirizzo: https://atomicredteam.io/

A computer screen with a list of commands and a description of a system service discovery.

Esempio di test Atomic Red Team

A screenshot of a website with the title "Playbook View".

Playbook Viewer di Palo Alto Unit 42

Visualizzatore Playbook Palo Alto Unit 42

Il gruppo Unit 42 di Palo Alto ha rilasciato un visualizzatore gratuito che mostra i comportamenti contraddittori noti per una manciata di gruppi di minacce allineati a MITRE ATT&CK.

Automazione Endgame Red Team

Red Team Automation è uno strumento open source di Endgame che verifica i comportamenti dannosi modellati su MITRE ATT&CK.

Endgame Red Team Automation list

Elenco attuale delle tecniche supportate da Red Team Automation (RTA)

A website page featuring text on the topic 'Torii Botnet - Not Another Mirai Variant.'

Esempio di Anomali Cyber Watch

Orologio Anomali Cyber

Questo rapporto settimanale gratuito include i principali sviluppi della settimana in materia di sicurezza e minacce. Il rapporto include gli IOC e le tecniche ATT&CK pertinenti per ogni storia inclusa nel briefing.

Riepilogo

MITRE ha dato un contributo significativo alla comunità della sicurezza fornendoci ATT&CK e i relativi strumenti e risorse. Non poteva arrivare in un momento migliore. Poiché gli aggressori stanno trovando modi per essere più furtivi ed evitare di essere scoperti con gli strumenti di sicurezza tradizionali, i difensori si trovano a dover cambiare il modo in cui affrontano il rilevamento e la difesa. ATT&CK sposta la nostra percezione da indicatori di basso livello come indirizzi IP e nomi di dominio e ci fa vedere gli aggressori e le nostre difese attraverso la lente dei comportamenti. Questa nuova percezione non significa però che i risultati saranno facili. I giorni facili delle liste di blocco e dei semplici filtri sono quasi finiti. La strada per individuare e prevenire i comportamenti è molto più difficile rispetto agli strumenti «spara e dimentica» del passato. Inoltre, gli aggressori si adatteranno sicuramente man mano che i difensori apporteranno nuove capacità. ATT&CK fornisce un modo per descrivere tutte le nuove tecniche che sviluppano e, si spera, tenere i difensori al passo.