Mitre Att&ck ™: una panoramica
Home » Mitre Att&ck ™: una panoramica

Mitre Att&ck ™: una panoramica
Tempo di lettura: 6 min
Mitre Att&ck e’ una knowledge base globale di tattiche e tecniche avversarie basate su osservazioni reali degli attacchi cibernetici. Queste sono visualizzate in matrici organizzate per tattiche di attacco, dall’accesso iniziale al sistema al furto di dati, fino al controllo della macchina. Esistono matrici per le comuni piattaforme desktop (Linux, macOS e Windows) e per quelle mobili.
Cos’e’ e cosa significa MITRE ATT&CK ™?
ATT&CK sta per “adversarial tactics, techniques, and common knowledge” e cioe’: tattiche, tecniche avversarie e conoscenze comuni. Cerchiamo di andare piu’ a fondo.
Tattiche e tecniche sono un modo moderno di pensare gli attacchi cibernetici. Piuttosto che guardare ai risultati di un attacco, cioe’ a un indicatore di compromissione (IoC), gli analisti della sicurezza dovrebbero guardare alle tattiche e alle tecniche che indicano che un attacco e’ in corso. Le tattiche rappresentano l’obiettivo che si vuole raggiungere, mentre le tecniche rappresentano il modo in cui un avversario conta di raggiungerlo.
La common knowledge o conoscenza comune e’ l’uso documentato di tattiche e tecniche utilizzate dagli avversari. Essenzialmente, la common knowledge e’ la documentazione delle procedure usate da chi sferra gli attacchi. Chi ha familiarita’ con la sicurezza informatica, potrebbe avere familiarita’ con il termine “tattiche, tecniche e procedure” o TTP. Questo stesso concetto e’ stato usato da ATT&CK ™, con la sostituzione del termine procedure con common knowledge.
Chi e’ MITRE e qual e’ l’obiettivo di ATT&CK ™?
MITRE e’ un’organizzazione di ricerca finanziata dal governo USA con sede a Bedford, MA, e McLean, VA. La societa’ e’ stata scorporata dal MIT nel 1958 ed e’ stata coinvolta in una serie di progetti commerciali e top secret per diverse agenzie. Questi includevano lo sviluppo del sistema di controllo del traffico aereo della FAA e del sistema radar AWACS. Il MITRE ha una sostanziale pratica di sicurezza informatica finanziata dal National Institute of Standards and Technology (NIST).
Una curiosita’: la parola Mitre non significa nulla. A quanto pare uno dei primi membri, James McCormack, voleva un nome che non significasse nulla ma che fosse evocativo. Alcuni pensano erroneamente che significhi Massachusetts Institute of Technology Research and Engineering.
L’obiettivo di ATT&CK e’ quello di creare un elenco completo delle tattiche e delle tecniche avversarie conosciute utilizzate durante un attacco cibernetico. Aperto alle organizzazioni governative, educative e commerciali, dovrebbe essere in grado di raccogliere un’ampia, e si spera esaustiva, gamma di fasi e sequenze di attacco. MITRE ATT&CK ha lo scopo di creare una tassonomia standard per rendere piu’ specifiche le comunicazioni tra le organizzazioni.
Come si usa la matrice ATT&CK ™?
La matrice organizza visivamente tutte le tattiche e le tecniche conosciute in un formato di facile comprensione. Le tattiche di attacco sono mostrate in alto e le singole tecniche sono elencate in basso in ogni colonna. Una sequenza di attacco comporterebbe almeno una tecnica per tattica, e una sequenza di attacco completa sarebbe costruita spostandosi da sinistra (Accesso iniziale) a destra (Comando e controllo). E’ possibile utilizzare piu’ tecniche per una sola tattica. Per esempio, un attaccante potrebbe provare sia uno Spearphishing Attachment che uno Spearphishing Link come tattiche di accesso iniziale.
Ecco un esempio di matrice:
In questa matrice sono presenti tutte le fasi di una sequenza di attacco. E’ organizzata in modo che le tattiche siano ordinate da destra a sinistra secondo la sequenza di attacco. Sotto ogni tattica le tecniche corrispondenti, alcune delle quali contengono delle sotto-tecniche. Le due tecniche citate prima, sono in effetti sotto-tecniche del phishing che fa parte del primo passaggio nella sequenza (prima colonna a sinistra).
Esempio
Non e’ necessario che un attaccante usi tutte e undici le tattiche nella parte superiore della matrice. Piuttosto, l’attaccante utilizzera’ il numero minimo di tattiche per raggiungere il suo obiettivo, in quanto e’ piu’ efficiente e fornisce meno possibilita’ di scoperta. In questo attacco (illustrato nello schema qui sotto), l’avversario esegue l’accesso iniziale alle credenziali dell’assistente amministrativo del CEO utilizzando uno Spearphishing link consegnato in una e-mail. Una volta in possesso delle credenziali dell’amministratore, l’aggressore cerca un Remote System Discovery della fase Discovery.
Supponiamo che stiano cercando dati sensibili in una cartella Dropbox alla quale anche l’amministratore ha accesso, quindi non c’e’ bisogno di aumentare i privilegi. La raccolta, che e’ l’ultima fase, viene eseguita scaricando i file da Dropbox alla macchina dell’aggressore.
Si noti che se si utilizza l’analisi del comportamento, un analista della sicurezza potrebbe rilevare l’attacco in corso identificando il comportamento anomalo dell’utente.
Ed e’ proprio quello che un SOC dovrebbe fare, ecco, grossomodo, come potrebbe essere mitigato l’attacco: supponiamo che l’amministratore abbia cliccato un link che nessuno dell’azienda ha mai cliccato prima, poi l’amministratore e’ entrato in una particolare cartella di Dropbox in un momento insolito. Durante la fase finale dell’attacco, il computer dell’aggressore e’ entrato per la prima volta nella cartella Dropbox. Con l’analisi comportamentale, queste attivita’ verrebbero segnalate come comportamento sospetto dell’utente.
Consultare ATT&CK
Per consultare questa risorsa e’ sufficiente visitare il suo sito e ci si trovera’ davanti alla matrice di cui ho pubblicato uno screenshot poco fa. Supponiamo di voler consultare la tecnica Spearphishing Link. Cliccando su di essa, verra’ aperta la pagina corrispondente che contiene informazioni approfondite a riguardo, come una descrizione della tecnica, quali sotto-tecniche esistono, degli esempi di procedura che la includono e i suggerimenti per la mitigazione del rischio.
In sostanza sono disponibili tutte le informazioni necessarie per conoscere e difendersi in modo appropriato da ogni tecnica.
Conclusioni
I vantaggi di una risorsa come MITRE ATT&CK sono davvero notevoli. I team di sicurezza informatica hanno a disposizione un alleato prezioso, a cui possono aggiungere degli strumenti dedicati alla sua consultazione.
Se e’ quasi certo che gli aggressori si stanno adattando man mano che i difensori mettono in opera nuove competenze, e’ anche vero che ATT&CK fornisce un modo per descrivere le nuove tecniche che essi sviluppano.
Link utili:
Sicurezza: pentest e verifica delle vulnerabilita’
Condividi
RSS
Piu’ articoli…
- Zero-Day attack: cosa sono e come difendersi con SOCaaS
- Sistema di monitoraggio, una panoramica
- Data Exfiltration: difesa dal furto di dati
- Installare un certificato Let’s Encrypt su macchina Debian based
- WastedLocker: Ransomware di ultima generazione
- Proteggere un sito in WordPress: pacchetto sicurezza
- Ransomware critici: esempi di attacchi andati a segno
- Iniziative sociali di Secure Online Desktop
Categorie …
- Backup as a Service (3)
- Cloud CRM (1)
- Cloud Server/VPS (22)
- Conferenza Cloud (4)
- Log Management (2)
- Monitoraggio ICT (4)
- Novita' (11)
- ownCloud (7)
- Privacy (7)
- Secure Online Desktop (14)
- Security (5)
- SOCaaS (9)
- Vulnerabilita' (82)
- Web Hosting (13)
Tags
CSIRT
- Attacchi verso servizi Cloud
(BL01/210115/CSIRT-ITA) Gennaio 15, 2021Rilevati attacchi verso piattaforme cloud afferenti a varie organizzazioni in tutto il mondo.
- SQL Injection su prodotti Fortinet
(AL02/210115/CSIRT-ITA) Gennaio 15, 2021Identificata una vulnerabilità su prodotti Fortinet che potrebbe consentire a un attaccante remoto l’esecuzione di comandi arbitrari.
- Vulnerabilità su prodotti Cisco
(AL01/210115/CSIRT-ITA) Gennaio 15, 2021Cisco ha rilasciato di recente degli avvisi di sicurezza relativi a vulnerabilità con impatto medio e alto su diversi prodotti.
- Tecniche utilizzate dagli spammer per identificare account email attivi
(BL01/210114/CSIRT-ITA) Gennaio 14, 2021Per rendere maggiormente efficaci le campagne di spam e/o di phishing, gli attaccanti hanno necessità di confermare l’effettiva esistenza e l’utilizzo delle caselle email obiettivo. Il presente bollettino descrive due delle tecniche più comuni, fra l’altro inizialmente concepite per scopi leciti.
- Aggiornamenti Mensili Microsoft
(AL01/210114/CSIRT-ITA) Gennaio 14, 2021Microsoft ha rilasciato gli aggiornamenti di sicurezza mensili che risolvono un totale di 83 vulnerabilità, 10 delle quali di livello critico.
- Nuovo malware Android Rougue RAT
(AL01/210113/CSIRT-ITA) Gennaio 13, 2021In vendita sul dark-web, a prezzi popolari, un nuovo tipo di malware Android denominato Rougue RAT.
- Nuova campagna mondiale di phishing/smishing
(AL01/210112/CSIRT-ITA) Gennaio 12, 2021Rilevata una campagna di smishing/phishing che simula comunicazioni provenienti da fornitori di servizi tra i quali Gmail, Yahoo e Outlook.
- La Settimana Cibernetica del 10 gennaio 2021 Gennaio 11, 2021Il riepilogo delle notizie pubblicate dallo CSIRT italiano dal 04 gennaio 2021 al 10 gennaio 2021.
- Vulnerabilità su dispositivi Netgear
(AL03/210108/CSIRT-ITA) Gennaio 8, 2021Identificata una vulnerabilità con impatto su diversi prodotti Netgear.
- Vulnerabilità su dispositivi Belkin
(AL02/210108/CSIRT-ITA) Gennaio 8, 2021La falla permetterebbe l’esecuzione di codice arbitrario da remoto da parte di utenti non autorizzati.
Dark Reading:
- NSA Appoints Rob Joyce as Cyber Director Gennaio 15, 2021Joyce has long worked in US cybersecurity leadership, most recently serving as the NSA's top representative in the UK.
- Successful Malware Incidents Rise as Attackers Shift Tactics Gennaio 15, 2021As employees moved to working from home and on mobile devices, attackers followed them and focused on weekend attacks, a security firm says.
- How to Achieve Collaboration Tool Compliance Gennaio 15, 2021Organizations must fully understand the regulatory guidance on collaboration security and privacy so they can continue to implement and expand their use of tools such as Zoom and Teams.
- Name That Toon: Before I Go ... Gennaio 15, 2021Feeling creative? Submit your caption in the comments, and our panel of experts will reward the winner with a $25 Amazon gift card.
- These Kids Are All Right Gennaio 15, 2021Faculty and students at the William E. Doar School for the Performing Arts in Washington, D.C. created "Cyberspace," a rap song about online safety as part of the NSA's national STOP. THINK. CONNECT. campaign back in 2012. Wonder how many went into security.
- Shifting Privacy Landscape, Disruptive Technologies Will Test Businesses Gennaio 14, 2021A new machine learning tool aims to mine privacy policies on behalf of users.
- 'Chimera' Threat Group Abuses Microsoft & Google Cloud Services Gennaio 14, 2021Researchers detail a new threat group targeting cloud services to achieve goals aligning with Chinese interests.
- Businesses Struggle with Cloud Availability as Attackers Take Aim Gennaio 14, 2021Researchers find organizations struggle with availability for cloud applications as government officials warn of cloud-focused cyberattacks.
- NSA Recommends Using Only 'Designated' DNS Resolvers Gennaio 14, 2021Agency provides guidelines on securely deploying DNS over HTTPS, aka DoH.
- Who Is Responsible for Protecting Physical Security Systems From Cyberattacks? Gennaio 14, 2021It's a question that continues to engage debate, as the majority of new physical security devices being installed are now connected to a network. While this offers myriad benefits, it also raises the question: Who is responsible for their cybersecurity?
Full Disclosure
- SEC Consult SA-20210113-1 :: Multiple vulnerabilities in flatCore CMS Gennaio 13, 2021Posted by SEC Consult Vulnerability Lab on Jan 13SEC Consult Vulnerability Lab Security Advisory < 20210113-1 > ======================================================================= title: Multiple Vulnerabilities product: flatCore CMS vulnerable version: < 2.0.0 Build 139 fixed version: Release 2.0.0 Build 139 CVE number: CVE-2021-23835, CVE-2021-23836, CVE-2021-23837, CVE-2021-23838 impact: High homepage:...
- SEC Consult SA-20210113-0 :: Multiple vulnerabilities in Pepperl+Fuchs IO-Link Master Series Gennaio 13, 2021Posted by SEC Consult Vulnerability Lab on Jan 13SEC Consult Vulnerability Lab Security Advisory < 20210113-0 > ======================================================================= title: Multiple vulnerabilities product: Pepperl+Fuchs IO-Link Master Series See "Vulnerable / tested versions" vulnerable version: System 1.36 / Application 1.5.28 fixed version: System 1.52 / Application 1.6.11 CVE number:...
- Backdoor.Win32.Zombam.a / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6c5081e9b65a52963b0b1ae612ef7eb4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Zombam.a Vulnerability: Remote Stack Buffer Overflow Description: The malware listens on TCP port 80, sending an HTTP GET request with 300 or more bytes will trigger buffer overflow overwriting EIP. Type: […]
- Backdoor.Win32.Levelone.b / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/3f82e6ddc9f5242f5af200d2fbae4ce4.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Levelone.b Vulnerability: Remote Stack Buffer Overflow Description: The backdoor listens on Port 7777, sending two large consecutive HTTP OPTIONS requests trigger the buffer overflow overwriting EIP. Type: PE32 MD5:...
- Backdoor.Win32.Levelone.a / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/6a2d09c4527cf222e4e2571b074fcc0c.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Levelone.a Vulnerability: Remote Stack Buffer Overflow Description: The malware listens on Port 1500, sending a specially crafted HTTP TRACE request causes a buffer overflow and overwrites EIP with our payload. If […]
- Backdoor.Win32.Ketch.b / Remote Stack Buffer Overflow Gennaio 13, 2021Posted by malvuln on Jan 12Discovery / credits: malvuln - Malvuln.com (c) 2021 Original source: https://malvuln.com/advisory/9d7be3799594a82bf7056905f501af03.txt Contact: malvuln13 () gmail com Media: twitter.com/malvuln Threat: Backdoor.Win32.Ketch.b Vulnerability: Remote Stack Buffer Overflow Description: Makes HTTP GET request for a file "script.dat", and writes the server response to temporary file named "watchb.tmp" under c:\Windows dir. At 1032...
- Re: Backdoor.Win32.Xtreme.yvp / Insecure Permissions EoP Gennaio 13, 2021Posted by bo0od on Jan 12When you say backdoor, you mean backdoor which microsoft remotely using it or you mean a malware can take advantage of? malvuln:
- Advisory: ES2021-01 - Loopback access control bypass in coturn by using 0.0.0.0, [::1] or [::] as the peer address Gennaio 13, 2021Posted by Sandro Gauci on Jan 12# Loopback access control bypass in coturn by using 0.0.0.0, [::1] or [::] as the peer address - Fixed version: 4.5.2 - Enable Security Advisory: https://github.com/EnableSecurity/advisories/tree/master/ES2021-01-coturn-access-control-bypass - Coturn Security Advisory: https://github.com/coturn/coturn/security/advisories/GHSA-6g6j-r9rf-cm7p - Other references: - CVE-2020-26262 -...
- Re: Trovent Security Advisory 2010-01 [updated] / CVE-2020-28208: Rocket.Chat email address enumeration vulnerability Gennaio 13, 2021Posted by Stefan Pietsch on Jan 12# Trovent Security Advisory 2010-01 # ##################################### Email address enumeration in reset password ########################################### Overview ######## Advisory ID: TRSA-2010-01 Advisory version: 1.1 Advisory status: Public Advisory URL: https://trovent.io/security-advisory-2010-01 Affected product: Web application Rocket.Chat Affected version:
- Envira Gallery - Lite Edition - Version 1.8.3.2 CVE-2020-35581 CVE-2020-35582 Gennaio 13, 2021Posted by Rodolfo Augusto do Nascimento Tavares on Jan 12==== [Tempest Security Intelligence - ADV-12/2020] ============================= Envira Gallery - Lite Edition - Version 1.8.3.2 Author: Rodolfo Tavares Tempest Security Intelligence - Recife, Pernambuco - Brazil ===== [Table of Contents] ================================================ • Overview • Detailed description • Disclosure timeline • Acknowledgements • References ===== [Vulnerability Information]...
Customers
Twitter FEED
Recent activity
SecureOnlineDesktop
Tempo di lettura: 4 minLa pratica dello shadow IT e' l'utilizzo di sistemi informatici, dispositivi, software, appl… https://t.co/9wQPtvqemG
SecureOnlineDesktop
The practice of shadow IT is the use of computer systems, devices, software, applications and services without the… https://t.co/CgzjblglX9
SecureOnlineDesktop
Acronis Active Protection e' una tecnologia anti-ransomware avanzata. Protegge attivamente tutti i dati dei vostri… https://t.co/Hw7Rs2YOQa
SecureOnlineDesktop
Le insider threat sono difficili da individuare perche' provengono, appunto, dall'interno della vostra organizzazio… https://t.co/aborWoeBgK
SecureOnlineDesktop
Se il sito e' lento, stai perdendo clienti. E' molto semplice e non ci sono modi piu' gentili per dire la stessa co… https://t.co/yB18k0UH49
Newsletter
Prodotti e Soluzioni
News
- Zero-Day attack: cosa sono e come difendersi con SOCaaS Gennaio 6, 2021
- Sistema di monitoraggio, una panoramica Gennaio 4, 2021
- Data Exfiltration: difesa dal furto di dati Dicembre 30, 2020
- Installare un certificato Let’s Encrypt su macchina Debian based Dicembre 28, 2020
- WastedLocker: Ransomware di ultima generazione Dicembre 23, 2020
Recensioni Google






















Copyright © 2011 Secure Online Desktop s.r.l. All Rights Reserved.
VAT: 07485920966 “Cloud Computing services - Software cloud - Cloud server - VPS” Terms of ServicePrivacy Policy ISO Certifications