Cos’è MITRE ATT&CK FRAMEWORK?
Il MITRE ATT&CK è una knowledge base accessibile a livello globale, che contiene tattiche e tecniche utilizzate dagli attaccanti, basate su osservazioni del mondo reale. La knowledge base di ATT&CK viene utilizzata come base per lo sviluppo di modelli e metodologie di minaccia specifici nel settore privato, nel governo e nella comunità dei prodotti e dei servizi di sicurezza informatica.
Le tattiche e le tecniche vengono visualizzate in matrici disposte per fasi di attacco, dall’accesso iniziale al sistema, al furto di dati o al controllo della macchina. Ci sono matrici per piattaforme desktop comuni – Linux, macOS e Windows – piattaforme cloud, come AWS, Google Cloud Platform, Office 365, Microsoft Azure, nonché piattaforme mobili, iOS e Android.
Perché ATT&CK?
ATT&CK è un acronimo e sta per Adversarial Tactics, Techniques, and Common Knowledge.
Tattiche e tecniche sono un modo moderno di guardare agli attacchi informatici. Piuttosto che esaminare i risultati di un attacco, concentrandosi su indicatori noti di compromissione (i famosi IOC), gli analisti della sicurezza preferiscono identificare indicatori di attacchi, tattiche e tecniche che indicano che un attacco è in corso. Mentre la tattica è l’obiettivo, il “perché” dietro un attacco, le tecniche rappresentano “come” un avversario opera gli obiettivi tattici.
La “Common Knowledge” sono le procedure documentate utilizzate dagli avversari per attuare le loro tattiche e tecniche. Un altro termine ampiamente usato nella sicurezza informatica per descrivere un approccio avversario è “tattiche, tecniche e procedure” o TTP.
Qual è l’obiettivo di ATT&CK?
Il framework ATT&CK è stato creato nel 2013 dal MITRE, un’organizzazione di ricerca finanziata dal governo, che è una propaggine dell’Università del MIT ed è stata coinvolta in numerosi progetti top secret per varie agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo FAA e del sistema radar aereo AWACS. MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).
ATT&CK è stato creato per la necessità di classificare sistematicamente il comportamento degli attaccanti così da poter condurre esercizi di emulazione “strutturata” all’interno dell’ambiente di ricerca Fort Meade Experiment del MITRE. L’obiettivo è creare un elenco completo di tattiche e tecniche di avversario conosciute utilizzate durante un attacco informatico.
Una volta all’anno MITRE prepara delle “Evaluations”. Cioè, in soldoni, vengono scelti alcuni attacchi avvenuti nei mesi precedenti e viene aperta la possibilità ai vendor che lo desiderano di essere messi sotto “test”. Lo scopo è quello di capire, nel modo più trasparente e controllato possibile come ogni vendor affronta il “test”. Uno strumento che cerca di essere molto chiaro su tutto e quindi è giusto fare chiarezza per evitare un continuo “rumore di fondo” che i vendor di cybersecurity mettono in giro, sfruttando i risultati dei test come strumento di marketing da cui creare ranking e narrazioni a proprio favore.
La lettura dell’evaluation in realtà non è per niente semplice, anzi, necessita di studio e testa per capirne le differenze. Potremmo semplificare dicendo che il test che propone MITRE si focalizza sulla visibilità che un prodotto può dare a fronte di una determinata minaccia. Ancor più semplice, quante tattiche, tecniche e procedure il prodotto è in grado di mappare, cioè “vedere”, in un preciso attacco.
Un’altra cosa che pochi sanno: il test è “preparato”.
La metodologia di test è su un ambiente dichiarato e dove il vendor può prepararsi.
Il MITRE dà poi delle specifiche sull’ambiente di test; quali server ci saranno, con che sistemi operativi, quali client?
Pensate dunque di dovervi preparare per un esame, ma vi sono stati dati tutti i dettagli, conoscete gli argomenti e avete qualche mese per prepararvi. Questa è la situazione che verosimilmente si ripropone.
MITRE invece fa tutto nel modo più trasparente possibile, perché lo scopo non è decretare un voto o dire chi ha vinto; lo scopo è far capire come ogni soluzione valuta, verifica e classifica un attacco.
In conclusione, ancora una volta dobbiamo stare attenti ai messaggi che ci arrivano da un mercato – non sempre trasparente – della cybersecurity e dai vendor.
Ricordatevi, se vi parlano di MITRE, non esistono vincitori. Quasi certamente vi diranno che hanno il 100% in qualcosa, ma non è certo un’esclusiva. Il MITRE è una buona opportunità per vedere come ragionano i prodotti, come mappano gli attacchi, cosa sono in grado di vedere e cosa no. Forse la parola giusta è visibilità, ma non certo efficacia. È una piccola provocazione, ma il fatto che un prodotto sia in grado di leggere una determinata telemetria, significa che sia in grado di bloccare un attacco ? No.
Aggiungiamo anche che le uniche strategie possibili, nel momento in cui scriviamo, possono essere basate unicamente sul Defense In-Depth, cioè una difesa a stratificazione multipla, costruita su best-practice, tuning delle tecnologie e persone formate. Ma di questo parleremo più avanti.