Giacomo Lanzi
Mitre Att&ck ™: una panoramica
Tempo di lettura: 6 min
Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.
Cos’e’ e cosa significa MITRE ATT&CK ™?
ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.
Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.
La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.
Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?
MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).
Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.
L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.
Come si usa la matrice ATT&CK ™?
La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.
Ecco un esempio di matrice:
In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).
Esempio
Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.
Esempio: le tattiche e le tecniche usate nella fasi di un attacco
Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.
Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.
Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.
Consultare ATT&CK
Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio.
In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.
La parte iniziale della scheda della tecnica Spearphishing Link.
Conclusioni
I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.
Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano.
Link utili:
Sicurezza: pentest e verifica delle vulnerabilita’
Condividi
RSS
Piu’ articoli…
- Introduzione a Lockbit e all’IOC (Indicator of Compromise)
- Comprendere gli approcci di Penetration Testing: Gray Box, Black Box e White Box
- SOC esterno
- Cos’è il Ghost Broking e come la Cyber Threat Intelligence può aiutare a prevenirlo
- EDR (Endpoint Detection and Response)
- Unificare la piattaforma per la threat detection
- L’importanza del monitoring ICT
- I benefici SOAR: semplificare indagine e risposta
Categorie …
- Backup as a Service (24)
- Acronis Cloud Backup (18)
- Veeam Cloud Connect (3)
- Cloud CRM (1)
- Cloud Server/VPS (23)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (15)
- ownCloud (7)
- Privacy (8)
- Secure Online Desktop (14)
- Security (163)
- Cyber Threat Intelligence (CTI) (6)
- Ethical Phishing (8)
- Penetration Test (6)
- SOCaaS (52)
- Vulnerabilita' (83)
- Web Hosting (15)
Tags
CSIRT
- Vulnerabilità in Apache OpenOffice
(AL01/230327/CSIRT-ITA) Marzo 27, 2023Aggiornamenti di sicurezza Apache sanano 2 vulnerabilità con gravità “alta” presenti in OpenOffice, nota suite di produttività open source.
- La Settimana Cibernetica del 26 marzo 2023 Marzo 27, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 20 al 26 marzo 2023.
- Risolta vulnerabilità su Malwarebytes per Windows
(AL01/230324/CSIRT-ITA) Marzo 24, 2023Malwarebytes ha pubblicato un bollettino di sicurezza contenente aggiornamenti volti a sanare una vulnerabilità presente nella versione Windows del suo software di sicurezza. Tale vulnerabilità, qualora sfruttata, potrebbe consentire a un attacante locale la cancellazione arbitraria di file o l’elevazione dei privilegi sui dispositivi interessati.
- Vulnerabilità in Apache Tomcat
(AL02/230323/CSIRT-ITA) Marzo 23, 2023Rilevata una vulnerabilità di sicurezza – già sanata dal vendor - nel noto server web open source sviluppato da Apache Software Foundation.
- Disponibili aggiornamenti per prodotti CISCO
(AL01/230323/CSIRT-ITA) Marzo 23, 2023Aggiornamenti di sicurezza Cisco sanano molteplici vulnerabilità, di cui 8 con gravità “alta”, presenti in vari prodotti.
- Rilevate vulnerabilità nei router Orbi di Netgear
(AL02/230322/CSIRT-ITA) - Aggiornamento Marzo 22, 2023Ricercatori di sicurezza hanno rilevato 4 vulnerabilità – già sanate dal vendor - nei router wireless Orbi di Netgear. Tali vulnerabilità, qualora sfruttate, potrebbero permettere l’esecuzione di comandi arbitrari e/o l’accesso a informazioni sensibili sui dispositivi interessati.
- Risolte vulnerabilità in Google Chrome
(AL01/230322/CSIRT-ITA) Marzo 22, 2023Google ha rilasciato un aggiornamento per il browser Chrome al fine di correggere 8 vulnerabilità di sicurezza, di cui 7 con gravità “alta”.
- Vulnerabilità in Moodle
(AL02/230321/CSIRT-ITA) Marzo 21, 2023Rilevate vulnerabilità in Moodle, nota piattaforma open source tipicamente utilizzata per l'erogazione dei corsi in modalità e-learning.
- Sanata vulnerabilità in cURL
(AL01/230321/CSIRT-ITA) Marzo 21, 2023Rilasciati aggiornamenti di sicurezza che risolvono 6 vulnerabilità in cURL, noto tool a linea di comando e libreria per il trasferimento dati via URL.
- La Settimana Cibernetica del 19 marzo 2023 Marzo 20, 2023Scarica il riepilogo delle notizie pubblicate dallo CSIRT Italia dal 13 al 19 marzo 2023.
Dark Reading
- Twitter's Source Code Leak on GitHub a Potential Cyber Nightmare Marzo 27, 2023Indicators point to Twitter's source code being publicly available for around 3 months, offering a developer security object lesson for businesses.
- 7 Women Leading the Charge in Cybersecurity Research & Analysis Marzo 27, 2023From rising stars to veterans heading up research teams, check out our profiles of women making a big impact in cyber defense as the threat landscape expands.
- Drive to Pervasive Encryption Boosts Key Management Marzo 27, 2023Key vaults, aka key-management-as-a-service (KMaaS), promise to allow companies to encrypt sensitive data across cloud and third parties with granular control.
- Cybersecurity vs. Everyone: From Conflict to Collaboration Marzo 27, 2023Don't assume stakeholders outside security understand your goals and priorities, but consider how you'll communicate with them to gain their support.
- CyberSecure Announces Strategic Alliance Marzo 24, 2023The joint partnership represents expanded market opportunities.
- Tesla Model 3 Hacked in Less Than 2 Minutes at Pwn2Own Contest Marzo 24, 2023In two days, ethical researchers from 10 countries have unearthed more than 22 zero-day bugs in a wide range of technologies at the annual hacking contest.
- GitHub's Private RSA SSH Key Mistakenly Exposed in Public Repository Marzo 24, 2023GitHub hastens to replace its RSA SSH host key after an exposure mishap threatens users with man-in-the-middle attacks and organization impersonation.
- Zoom Zoom: 'Dark Power' Ransomware Extorts 10 Targets in Less Than a Month Marzo 24, 2023A new threat actor is racking up victims and showing unusual agility. Part of its success could spring from the use of the Nim programming language.
- Malicious ChatGPT Extensions Add to Google Chrome Woes Marzo 24, 2023The second malicious ChatGPT extension for Chrome has been discovered, giving malicious actors access to users' Facebook accounts through stolen cookies.
- Red Teaming at Scale to Uncover Your Big Unknowns Marzo 24, 2023A contrarian mindset with applied imagination allows security professionals to assess problems in their organizations, prevent failures, and mitigate vulnerabilities.
Full Disclosure
- Defense in depth -- the Microsoft way (part 84): (no) fun with %COMSPEC% Marzo 24, 2023Posted by Stefan Kanthak on Mar 24Hi @ll, the documentation of the builtin START command of Windows NT's command processor CMD.EXE states: | When you run a command that contains the string "CMD" as the first | token without an extension or path qualifier, "CMD" is replaced | with the value of the COMSPEC variable. […]
- Invitation to the World Cryptologic Competition 2023 Marzo 22, 2023Posted by Competition Administrator on Mar 21The WCC 2023 is a fully-online and open competition using GitHub. The language of the competition is English. The WCC 2023 has a total duration of 295 days, from Sunday January 1st 2023 to Monday October 23rd 2023. Teams and Judges must complete registration before Wednesday June 1st. The […]
- Insecure python cgi documentation and tutorials are vulnerable to XSS. Marzo 22, 2023Posted by Georgi Guninski on Mar 21Is there low hanging fruit for the following observation? The documentation of the python cgi module is vulnerable to XSS (cross site scripting) https://docs.python.org/3/library/cgi.html ``` form = cgi.FieldStorage() print("name:", form["name"].value) print("addr:", form["addr"].value) ``` First result on google for "tutorial python cgi" is...
- Re: Microsoft PlayReady security research Marzo 22, 2023Posted by Adam Gowdiak on Mar 21Hello, I feel obliged to provide additional comments to this paragraph as I start to believe that CANAL+ might not deserve sole blame here... While Microsoft claims there is absolutely no bug at its end, I personally start to perceive the company as the one that should be also […]
- Re: Defense in depth -- the Microsoft way (part 83): instead to fix even their most stupid mistaskes, they spill barrels of snakeoil to cover them (or just leave them as-is) Marzo 22, 2023Posted by Arik Seils on Mar 21Hi there, One can use the Metasploit Framework Module post/windows/local/bypassua _fodhelper to achieve this. Greetings from Germany, A.Seils 17.03.2023 06:26:56 Stefan Kanthak :
- Re: Microsoft PlayReady security research Marzo 21, 2023Posted by Security Explorations on Mar 21Hello, I feel obliged to provide additional comments to this paragraph as I start to believe that CANAL+ might not deserve sole blame here... While Microsoft claims there is absolutely no bug at its end, I personally start to perceive the company as the one that should be also […]
- Defense in depth -- the Microsoft way (part 83): instead to fix even their most stupid mistaskes, they spill barrels of snakeoil to cover them (or just leave them as-is) Marzo 17, 2023Posted by Stefan Kanthak on Mar 16Hi @ll, with Windows 2000, Microsoft virtualised the [HKEY_CLASSES_ROOT] registry branch: what was just an alias for [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] before became the overlay of [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] and [HKEY_CURRENT_USER\Software\Classes] with the latter having precedence: Note: while [HKEY_LOCAL_MACHINE\SOFTWARE\Classes] is writable only by...
- [CFP] Security BSides Ljubljana 0x7E7 | June 16, 2023 Marzo 17, 2023Posted by Andraz Sraka on Mar 16MMMMMMMMMMMMMMMMNmddmNMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMN..-..--+MMNy:...-.-/yNMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MMy..ymd-.:Mm::-:osyo-..-mMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM MM:..---.:dM/..+NNyyMN/..:MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM Mm../dds.-oy.-.dMh--mMds++MMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMMM My:::::/ydMmo..-hMMMmo//omMs/+Mm+++++shNMN+//+//+oMNy+///ohM MMMs//yMNo+hMh---m:-:hy+sMN..+Mo..os+.-:Ny--ossssdN-.:yyo+mM...
- Full Disclosure - Fastly Marzo 12, 2023Posted by Andrey Stoykov on Mar 11Correspondence from Fastly declined to comment regarding new discovered vulnerabilities within their website. Poor practices regarding password changes. 1. Reset user password 2. Access link sent 3. Temporary password sent plaintext // HTTP POST request POST /user/mwebsec%40gmail.com/password/request_reset HTTP/2 Host: api.fastly.com User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:108.0) Gecko/20100101 […]
- Full Disclosure - Shopify Application Marzo 12, 2023Posted by Andrey Stoykov on Mar 11Correspondence from Shopify declined to comment regarding new discovered vulnerabilities within their website. Although 'frontend' vulnerabilities are considered out of scope, person/tester foundhimself a beefy bugbounty from the same page that has been listed below, including similar functionality that has not been tested yet. Two emails and several reports, […]
Customers
Twitter FEED
Recent activity
-
SecureOnlineDesktop
Estimated reading time: 6 minutes L'impatto crescente delle minacce informatiche, su sistemi operativi privati op… https://t.co/FimxTS4o9G
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The growing impact of cyber threats, on private or corporate operating systems… https://t.co/y6G6RYA9n1
-
SecureOnlineDesktop
Tempo di lettura stimato: 6 minuti Today we are talking about the CTI update of our services. Data security is… https://t.co/YAZkn7iFqa
-
SecureOnlineDesktop
Estimated reading time: 6 minutes Il tema della sicurezza delle informazioni è di grande attualità in questo peri… https://t.co/tfve5Kzr09
-
SecureOnlineDesktop
Estimated reading time: 6 minutes The issue of information security is very topical in this historical period ch… https://t.co/TP8gvdRcrF
Newsletter
Prodotti e Soluzioni
Collaborazioni
Modelli Cloud
News
- Introduzione a Lockbit e all’IOC (Indicator of Compromise) Febbraio 6, 2023
- Comprendere gli approcci di Penetration Testing: Gray Box, Black Box e White Box Gennaio 30, 2023
- SOC esterno Gennaio 26, 2023
- Cos’è il Ghost Broking e come la Cyber Threat Intelligence può aiutare a prevenirlo Gennaio 23, 2023
- EDR (Endpoint Detection and Response) Gennaio 5, 2023
Recensioni Google
Contatti
Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy
ISO Certifications