Mitre Att&ck: che cos’è e perché è utile alle aziende
Quando si parla di sistemi e meccanismi di difesa delle infrastrutture aziendali, non si può parlare di una soluzione universale: per ogni metodologia di attacco, infatti, è opportuno mettere in atto risposte diverse, adeguate e su misura rispetto ai comportamenti e alle tecniche scelte dai cyber criminali per perpetrare il loro attacco. Proprio per questo, nella sicurezza informatica un fattore determinante è sempre stata la conoscenza nel dettaglio della minaccia, della sua evoluzione, delle metodologie privilegiate e degli strumenti scelti. Il Mitre Att&ck nasce per rispondere a questa esigenza e permettere a tutta la cyber community di implementare le risposte su misura più adeguate e tempestive.
Cos’è il Mitre Att&ck
Il Mitre Att&ck è una knowledge base che contiene un insieme di informazioni riguardanti tecniche, tattiche e procedure utilizzate da hacker e organizzazioni cyber criminali. Le informazioni contenute nel Mitre Att&ck sono acquisite dalla comunità che si occupa di sicurezza informatica e documentano il comportamento di chi perpetra l’attacco e le modalità di interazione degli stessi con gli elementi del sistema informatico preso di mira.
Lo strumento è stato presentato dalla Mitre Corporation, un’associazione americana senza scopo di lucro, che ha l’obiettivo di supportare le Agenzie governative in vari ambiti, tra cui quello della sicurezza informatica. Il nome dello strumento, Att&ck, è l’acronimo di Adversarial Tactics, Techniques & Common Knowledge.
Il framework permette quindi di identificare in modo preciso le tecniche utilizzate dagli hacker, grazie al loro inserimento in matrici facilmente consultabili.
Il Mitre Att&ck è costituito da tre elementi:
- tattiche: vengono descritti gli obiettivi tattici di chi attacca, ad esempio l’accesso alle credenziali;
- tecniche: vengono descritte le modalità usate da chi attacca per raggiungere gli obiettivi sopra definiti, come gli attacchi di forza bruta;
- sottotecniche: vengono descritte specifiche azioni eseguite dagli hacker per arrivare agli obiettivi.
Il Mitre Att&ck permette non solo di adottare un modello di difesa behavior-based, ma anche e soprattutto fornire uno strumento utile al definire come impostare la risposta, nel modo più adeguato.
La matrice delle minacce informatiche
Per far visualizzare il rapporto tra tattiche e tecniche e per permettere la migliore lettura e comprensione delle informazioni raccolte, Il Mitre Att&ck utilizza le matrici delle minacce informatiche. In particolare, il Mitre ha suddiviso il framework in quattro matrici principali, focalizzandosi su come l’attaccante “interagisce” con i sistemi dell’organizzazione target:
- la matrice Pre-Att&ck riunisce tutte le attività che hacker e organizzazioni cyber criminali mettono in atto prima di provare ad attaccare direttamente un obiettivo, un sistema o una rete. Si riferisce quindi alla fase di information gathering e di preparazione dell’attacco;
- la matrice Enterprise si focalizza sulla fase di attacco, dall’accesso iniziale, all’exfiltration e impact, passando per l’execution. A sua volta, la matrice Enterprise è suddivisa in sottomatrici, in base alle diverse piattaforme sulle quali gli attaccanti possono applicare tattiche e tecniche: da Windows, a Linux, passando per MacOS e il mondo Cloud con AWS, GCP, Office365, SaaS platform;
- la matrice Mobile riunisce tattiche e tecniche che possono essere applicate a dispositivi mobili, piattaforme Android e iOS;
- la matrice Industrial Control System (ICS) riunisce tattiche e tecniche utilizzate dagli attaccanti in ambienti Operational Technologies. La matrice riguarda quindi l’ambito industriale il quale ha architettura e problematiche specifiche.
Perché il Mitre Att&ck è utile per le aziende
Il Mitre Att&ck può risultare utile in diverse situazioni per aziende e imprese e per i professionisti della sicurezza, che si occupano di proteggere l’infrastruttura informatica aziendale da attacchi. Ogni attività di difesa, infatti, potrà utilizzare le informazioni presenti all’interno del Mitre Att&ck per comprendere il comportamento e le scelte degli attaccanti, in particolare:
- il framework può essere utilizzato per progettare piani di Red Teaming in modo da organizzare operazioni per evitare misure difensive che potrebbero essere in atto in una rete;
- Att&ck è molto utile nella creazione di scenari di simulazioni di attacchi, così da testare le difese presenti in azienda;
- le matrici possono essere utilizzate come modelli incentrati sul comportamento per valutare strumenti e monitoraggio delle difese esistenti all’interno dell’azienda;
- Att&ck può essere inoltre usato per determinare l’efficacia di un Security Operation Center nel rilevare, analizzare e rispondere agli attacchi.
La soluzione di ACS: il Managed Detection & Response
Proprio per l’importanza che ricopre l’analisi comportamentale ai fini della difesa delle infrastrutture informatiche aziendali, noi di ACS abbiamo progettato una soluzione su misura per le imprese. Il Managed Detection and Response fornisce, infatti, l’analisi comportamentale continua di tutti gli endpoint aziendali attraverso la professionalità di un team di esperti della sicurezza e le più moderne tecnologie. La soluzione progettata da noi di ACS permette di bloccare le minacce esterne in modo veloce trovando la risposta più veloce, affidabile ed efficace in termini di sicurezza. Il Managed Detection & Response unisce le competenze del team di cyber security di ACS con un prodotto EDR all’avanguardia gestito da un pannello di controllo centralizzato, che permette il monitoraggio degli endpoint collegato alla rete aziendale. Utilizzarlo è semplice: una volta installato, il software rileva le attività degli endpoint e si basa su algoritmi di behavior analysis e sulle matrici del Mitre Att&ck, bloccando eventi anomali e segnalandoli agli esperti. Il team di ACS classifica quindi gli eventi segnalati in base alla pericolosità, pianificando le migliori risposte.
Più reattivo rispetto ai classici antivirus, ACS.Managed Detection & Response analizza i processi, il traffico dati, le applicazioni che interessano tutti gli endpoint garantendo una sicurezza massima, efficace e tempestiva.