Introduzione a MITRE ATT&CK: la mappa degli attacchi informatici

Cos'è MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) è una knowledge base globale che cataloga le tattiche e le tecniche utilizzate dagli attaccanti informatici nel mondo reale. Nato nel 2013 come progetto interno di MITRE Corporation, oggi è diventato lo standard de facto per i team di sicurezza di tutto il mondo.

A differenza di altri framework, ATT&CK non descrive vulnerabilità o configurazioni errate: descrive il comportamento degli attaccanti. Questo lo rende uno strumento potente sia per chi attacca (red team) che per chi difende (blue team).

Le 14 tattiche Enterprise

Il framework Enterprise — quello più usato per ambienti Windows, Linux e cloud — è organizzato in 14 tattiche che rappresentano gli obiettivi di alto livello di un attaccante:

1. Reconnaissance — Raccolta di informazioni sul bersaglio prima dell'attacco
2. Resource Development — Acquisizione di infrastrutture, account e strumenti
3. Initial Access — Come l'attaccante entra nella rete (phishing, exploit pubblici)
4. Execution — Esecuzione di codice malevolo sul sistema bersaglio
5. Persistence — Meccanismi per mantenere l'accesso anche dopo un riavvio
6. Privilege Escalation — Ottenere permessi più elevati
7. Defense Evasion — Tecniche per non essere rilevati
8. Credential Access — Furto di credenziali e hash
9. Discovery — Esplorazione dell'ambiente compromesso
10. Lateral Movement — Spostarsi da un sistema all'altro nella rete
11. Collection — Raccolta dei dati di interesse
12. Command and Control (C2) — Comunicazione con i sistemi compromessi
13. Exfiltration — Estrazione dei dati rubati verso l'esterno
14. Impact — Azioni finali: cifratura, cancellazione, sabotaggio

Un esempio pratico: T1059 — Command and Scripting Interpreter

Una delle tecniche più usate in assoluto è T1059, che rientra nella tattica Execution. Gli attaccanti usano interpreti di comandi legittimi — PowerShell, bash, Python, cmd.exe — per eseguire codice malevolo, spesso scaricato in memoria senza mai toccare il disco.

Esempio reale: un attaccante che ha ottenuto l'accesso via phishing esegue:

powershell -enc [Base64EncodedPayload]

Il payload codificato in Base64 scarica ed esegue uno script in memoria. Nessun file viene scritto su disco, molti antivirus non rilevano nulla.

Come difendersi:

• Abilitare il logging di PowerShell (Script Block Logging, Transcription)
• Usare AppLocker o Windows Defender Application Control
• Monitorare processi figli anomali di Office, browser, o client email
• Integrare SIEM con regole specifiche per T1059

Perché usare ATT&CK nella pratica

ATT&CK è utile a tutti i livelli di un team di sicurezza:

• Blue team: mappare le proprie capacità di detection su ogni tecnica, identificare i gap
• Red team: pianificare simulazioni di attacco realistiche basate su threat actor reali
• SOC analyst: correlare alert e incidenti con tecniche specifiche per rispondere meglio
• CISO / management: comunicare il livello di rischio in termini comprensibili

Strumenti come ATT&CK Navigator permettono di visualizzare su una matrice colorata quali tecniche si è in grado di rilevare e quali no — uno strumento prezioso per prioritizzare gli investimenti in sicurezza.

Hai domande su MITRE ATT&CK o vuoi approfondire un aspetto specifico? Scrivimi.