Che gli attacchi informatici siano in aumento e che siano sempre più sofisticati è un fatto: l’antivirus, da solo, non basta più.

Per questo motivo sono nati gli EDR, software che catturano i dati di quello che succede su una macchina e che, in caso di azioni sospette, sganciano allarmi.

Ma come fanno gli EDR a sapere se un’attività è sospetta? Come prendono le informazioni sui possibili percorsi che un attaccante può fare in una rete? Qui trovi un episodio del nostro podcast che ne parla.

Quasi tutto nasce dal MITRE ATT&CK, metodo standardizzato per descrivere un attacco controllato dal MITRE (associazione americana nata per supportare diverse Agenzie governative in vari campi, tra cui quello della sicurezza informatica).

Sviluppato nel 2013, il framework MITRE ATT&CK utilizza osservazioni basate sul mondo reale per documentare specifici metodi, tattiche e tecniche di attacco. Man mano che si scoprono nuove vulnerabilità e superfici di attacco, queste vengono aggiunte al framework ATT&CK, che è quindi in continua evoluzione. Negli ultimi anni, il MITRE ATT&CK e le sue matrici sono diventati uno standard per gli strumenti di conoscenza e correzione relativi al comportamento degli hacker.

Chi utilizza MITRE ATT&CK e perché?

Le matrici ATT&CK sono utilizzate da un’ampia varietà di professionisti IT e della sicurezza (tra cui Red Team) che utilizzano il framework per scoprire superfici di attacco e vulnerabilità presenti nei sistemi e nei dispositivi aziendali, nonché per migliorare la capacità di mitigare gli attacchi una volta che si verificano. Ciò avviene grazie all’apprendimento di informazioni relative, tra l’altro, all’accesso ottenuto dagli hacker, al modo in cui questi ultimi si spostano all’interno della rete interessata e ai metodi utilizzati per eludere il rilevamento. Questo set di strumenti consente agli MSP di acquisire una maggiore consapevolezza del proprio livello di sicurezza o di quello dei propri clienti, identificare le lacune nelle difese e assegnare priorità in base al rischio che rappresentano.

I ricercatori di minacce utilizzano il framework ATT&CK per trovare correlazioni tra le tecniche che gli hacker utilizzano e per comprendere la visibilità degli attacchi mirati alle loro difese, mentre gli sviluppatori e i tecnici lo utilizzano come strumento per valutare l’efficacia delle loro soluzioni, scoprire punti deboli e modellare il comportamento dei prodotti durante un attacco informatico.

Cosa contiene la matrice MITRE ATT&CK?

Attualmente sono quattro le matrici principali che compongono il framework ATT&CK:

  • PRE-ATT&CK: consente di monitorare e comprendere meglio le attività di pre-attacco che si verificano all’esterno del perimetro di rete (come la ricognizione e lo sviluppo delle risorse).
  • Enterprise ATT&CK: fornisce il dettaglio delle azioni che gli hacker possono intraprendere per eseguire le proprie attività all’interno di una rete aziendale aiutandole a dare le giuste priorità.
  • Mobile ATT&CK: descrive le tattiche e le tecniche utilizzate per compromettere i dispositivi mobili iOS e Android.
  • ICS ATT&CK: simile a Enterprise ATT&CK, ma destinata ai sistemi di controllo industriali, come reti elettriche, fabbriche, stabilimenti e altre aziende con macchine, dispositivi e reti interconnessi.
sicurezza del perimetro aziendale

Quali sono i vantaggi del framework MITRE ATT&CK?

Il vantaggio principale del framework ATT&CK è che un MSP o, in generale, chi si occupa di IT, può comprendere il modo in cui operano gli hacker e le azioni che intraprendono per ottenere l’accesso iniziale, individuare gli obiettivi, spostarsi lateralmente ed esfiltrare i dati. Ciò di visualizzare le attività dal punto di vista dell’hacker, il che può portare a una migliore comprensione delle motivazioni e delle tattiche. In definitiva, è possibile sfruttare questa conoscenza per identificare le lacune nel livello di sicurezza e migliorare il rilevamento e la risposta alle minacce, consentendo ai team di prevedere le mosse successive in modo che la correzione possa avvenire rapidamente.

Inoltre, nell’attuale ambiente di lavoro in cui vi è una grave carenza di competenze in materia di sicurezza informatica, i framework possono aiutare il personale meno esperto, fornendo le conoscenze e gli strumenti di ricerca necessari per affrontare rapidamente qualsiasi minaccia, sfruttando la conoscenza collettiva di tutti i professionisti della sicurezza che prima di loro hanno contribuito alle matrici del MITRE ATT&CK.

Ecco cosa valutano i ricercatori MITRE nei loro test:

  • La protezione: descrive se un prodotto di sicurezza può prevenire un attacco prima ancora che raggiunga computer o sistemi. La protezione è la prima linea di difesa per qualsiasi azienda, perché prevenire un attacco è sempre preferibile al dover rispondere dopo che si è verificato.
    Nei test più recenti di MITRE, 22 fornitori su 30 hanno superato il test. Solo 10, incluso ThreatDown, hanno ottenuto il 100% di protezione.
    Sebbene nessun prodotto per la sicurezza informatica possa fermare ogni singola minaccia esistente, un buon prodotto si posizionerà comunque in alto nell’analisi della protezione di MITRE.
  • La visibilità e la qualità degli avvisi: gli attacchi informatici non avvengono in pochi secondi, i cybercriminali possono pianificare i loro attacchi per giorni o addirittura settimane, forzando il loro ingresso in una porta non sicura o semplicemente inducendo un dipendente ad aprire un allegato dannoso, così da diffondersi lateralmente, fino a lanciare un attacco che può far deragliare qualsiasi azienda.
    Ogni soluzione di sicurezza informatica dovrebbe essere in grado di segnalare un comportamento dannoso o sospetto che si verifica su una rete e fornire avvisi correlati. Questa capacità è chiamata “Visibilità” e MITRE lo testa nelle proprie valutazioni. Tuttavia, la visibilità è solo la metà di una risposta di sicurezza adeguata. L’altra metà è la “Qualità degli avvisi“. Non tutti gli avvisi sono uguali. Alcuni forniscono informazioni molto dettagliate su cui possono agire i team di sicurezza, mentre altri informano in modo generico. Nei risultati della valutazione MITRE ATT&CK, agli avvisi vengono assegnati tre livelli di specificità, dal meno al più specifico: Generale, Tattico e Tecnico.
    ThreatDown ha rilevato 83 su 90 step coinvolti nella valutazione MITRE ATT&CK, una percentuale del 92% e, di questi 83 avvisi, 82 erano avvisi tecnici.
  • Pensiero “Out-of-the-box”: molte PMI non hanno il tempo o il budget per un team di sicurezza interno o anche solo per un singolo addetto. Ma ciò non dovrebbe significare che queste stesse PMI siano lasciate vulnerabili agli attacchi informatici. Ciò di cui hanno più bisogno è una soluzione di sicurezza informatica che funzioni con un approccio “out-of-the-box“, che venga cioè “impostata e dimenticata” e, gli MSP come, dovrebbero fornire questo servizio.
    Esiste un modo per interpretare i risultati MITRE che tiene conto di quanto deve essere coinvolta un’azienda per raggiungere una solida sicurezza informatica e, qui, entrano in gioco le “modifiche alla configurazione”. Si tratta di impostazioni che un fornitore di servizi IT può modificare mentre MITRE sta effettivamente analizzando il prodotto di quel fornitore. Queste modifiche alla configurazione riflettono l’uso nel mondo reale dei prodotti di sicurezza informatica da parte di alcune aziende.
    Le modifiche alla configurazione possono essere un potente strumento specifico per le aziende che dispongono delle risorse per implementarle in modo responsabile e agile, ma per tutte quelle aziende che non trarrebbero vantaggio da queste impostazioni, qualsiasi prodotto di sicurezza informatica decente dovrebbe fornire una difesa efficiente ed efficace senza alcuna modifica alla configurazione.
    ThreatDown è una delle poche soluzioni di sicurezza che ha ottenuto i suoi risultati senza modifiche alla configurazione.

Per concludere

Il MITRE ATT&CK può essere difficile da capire a primo impatto, ma vale la pena comprenderlo e approfondirlo. Facendo un giro tra i prodotti che possono offrire alla tua azienda, o a quella dei tuoi clienti, una sicurezza informatica efficace rispettando le risorse a tua disposizione, puoi trovare quella migliore per proteggere ogni sistema da attacchi presenti e futuri.

Non è una ricerca facile, ma, come abbiamo visto, ThreatDown è uno di quei prodotti che sa il fatto suo e… se nella tua testa frullano domande e vuoi saperne di più, abbiamo organizzato una sessione on demand per chiarire ogni tuo dubbio.

Guarda il Webinar On Demand