Che cos’è MITRE ATT&CK e come utilizzarlo

Cyberwatch Vulnerability Manager è in grado di generare una matrice MITRE ATT&CK per fare un’analisi dei rischi sul vostro sistema informatico.

In questo articolo tecnico potete scoprire come funziona.

MITRE ATT&CK è uno strumento di analisi delle minacce

MITRE è un’organizzazione senza scopo di lucro nata fondata nel 1958 con l’obiettivo di «risolvere i problemi per un mondo più sicuro». MITRE è storicamente conosciuta nel mondo della sicurezza informatica per il mantenimento della lista delle Common Vulnerabilities and Exposures (CVE), in cui tutte le vulnerabilità pubblicate a livello internazionale ricevono un codice dal formato CVE-ANNO-REFERENCE (dove ANNO corrisponde all’anno di pubblicazione e REFERENCE a un numero che si incrementa ad ogni nuova vulnerabilità pubblicata nell’anno di riferimento). Nel 2013 MITRE ha creato un modello di analisi delle minacce basato su un ambiente windows.

Questo modello ha subito successivamente ulteriori sviluppi e approfondimenti fino a maggio 2015, quando è stato reso pubblico per la prima volta con 96 tecniche suddivise in 9 tattiche.

MITRE ha successivamente esteso il perimetro del suo modello di analisi per coprire uno spettro più largo di sistemi con Windows, Linux, e MacOS; questo modello è stato poi rilasciato nel 2017 con lo strumento « MITRE ATT&CK per Enterprise ».

Matrice MITRE ATT&CK generata con il MITRE ATT&CK Navigator

Da allora, MITRE a creato delle griglie di analisi come MITRE ATT&CK For Mobile, dedicata ai dispositivi Android e iOS e MITRE ATT&CK For ICS per gli apparati industriali.
Oggi MITRE ATT&CK For Enterprise è il modello di analisi delle minacce più conosciuto.
Quando un esperto di sicurezza informatica parla del MITRE ATT&CK, senza precisare alcun dettaglio, ci sono buone possibilità che si riferisca a MITRE ATT&CK For Enterprise.

MITRE ATT&CK è basato sull’analisi delle tecniche e tattiche utilizzate dagli hacker

ATT&CK è l’acronimo di «Adversarial Tactics, Techniques, and Common Knowledge», cioè tattiche, tecniche e conoscenze di base sugli attaccanti.
MITRE ATT&CK per Enterprise divide un attacco informatico in 14 passaggi (12 presi dalla matrice classica MITRE ATT&CK e 2 complementari dalla matrice pre-attacco) :

  1. Ricognizione (pre-attacco, TA0043) : l’attaccante cerca di raccogliere le informazioni da utilizzare per pianificare le future operazioni;
  2. Preparazione delle risorse (pre-attacco, TA0042) : l’attaccante cerca di determinare le risorse che possono essere utilizzate per sostenere le operazioni successive;
  3. Accesso iniziale (TA0001) : l’attaccante tenta di accedere alla vostra rete;
  4. Esecuzione (TA0002) : l’attaccante tenta di eseguire codice malevolo;
  5. Persistenza o mantenimento dell’accesso (TA0003) : l’attaccante tenta di mantenere il suo punto di ingresso;
  6. Elevazione dei privilegi (TA0004) : l’attaccante tenta di ottenere dei permessi di livello superiore;
  7. Evasione difensiva (TA005) : l’attaccante cerca di evitare di essere individuato;
  8. Accesso alle informazioni di autenticazione (TA0006) : l’attaccante tenta di rubare le credenziali di accesso (Nome utente e password);
  9. Esplorazione (TA0007): l’attaccante cerca di ottenere maggiori informazioni sul vostro ambiente IT;
  10. Movimento laterale (TA0008) : l’attaccante cerca si muoversi all’interno del vostro ambiente IT da un asset ad un altro;
  11. Raccolta (TA0009) : l’attaccante cerca di raccogliere i dati target del suo obiettivo;
  12. Comando e controllo (TA0011) : l’attaccante cerca di comunicare con i sistemi compromessi per controllarli;
  13. Estrazione o Esfiltrazione (TA0010) : l’attaccante cerca di rubare i dati;
  14. Impatto (TA0040) : l’attaccante cerca di manipolare, interrompere o distruggere i vostri sistemi e dati.

Questi 14 passaggi o tattiche formano le 14 colonne della matrice completa MITRE ATT&CK per Enterprise.

Colonne della matrice completa MITRE ATT&CK generata sul MITRE ATT&CK Navigator

Queste 14 tattiche sono costituite da 188 tecniche e 379 sotto-tecniche che permettono ad un attaccante di realizzare un attacco informatico. Per avanzare in ogni fase dell’attacco informatico, gli avversari utilizzano tecniche di attacco denominate TAXXX dove XXX è un numero progressivo. Per esempio la fase « Accesso Iniziale » (TA001) potrà essere realizzata attraverso una tecnica di attacco di tipo « Phishing » (T1566) o attraverso « lo sfruttamento di debolezze delle applicazioni esposte in internet» (T1190).


L’analisi proposta dal MITRE ATT&CK è estremamente dettagliata e permette di stabilire in modo preciso le tecniche utilizzate. Questa scomposizione consente di stabilire le sotto tecniche. Pertanto un attacco di tipo «Phishing» potrà verificarsi attraverso un’operazione mirata come « Spearphishing Attachment» (T1566.01), «Spearphishing Link» (T1566.002) o «Spearphishing via Service» (T1566.003).

Ogni sotto-tecnica è descritta come TXXXX.YYY dove XXXX e YYY sono delle serie di numeri. Una sotto tecnica TXXXX.YYY farà sistematicamente parte della tecnica TXXXX.

Ogni tecnica fa parte di una o più tattiche. Una tecnica è descritta nella matrice MITRE ATT&CK in riquadri posizionati sotto la/e tattiche corrispondenti.

Esempio di tecniche generato attraverso il MITRE ATT&CK Navigator

Un’analisi MITRE ATT&CK consiste nella previsione del rischio informatico di un ambiente in base ai dati di sicurezza disponibili e nel confronto con una minaccia nota.

Un rischio informatico può essere valutato nella matrice MITRE ATT&CK grazie ai dati di sicurezza.

Una analisi MITRE ATT&CK viene eseguita all’interno di un determinato perimetro, dunque è necessario disporre dei suoi dati di sicurezza.

Ad esempio, nell’ambito di una scansione delle vulnerabilità, i dati di sicurezza disponibili sono le CVE che interessano gli asset presenti nell’ambiente IT analizzato.

Esempio di una lista di CVE identificate da Cyberwatch Vulnerability Manager in un ambiente IT.

La matrice MITRE ATT&CK non è in grado di prendere in carico direttamente la lista delle CVE. E’ necessario dunque esaminare i suoi dati di base, cioè considerare l’elenco delle relative tecniche e sotto-tecniche che possono essere utilizzate all’interno del perimetro IT.


Per questo motivo si analizzano le categorie delle vulnerabilità, chiamate anche Common Weakness Enumeration (CWE). Quando una vulnerabilità CVE viene valutata dal National Vulnerability Database (NVD), riceve un punteggio di gravità da 0 a 10 (punteggio CVSS- Common Vulnerability Scoring System), nonché una categoria nel formato CWE.
Questa classificazione permette di descrivere il tipo di vulnerabilità e il suo utilizzo tipico nel contesto di un attacco informatico.
Per fare un esempio la vulnerabilità CVE-2022-21994 è legata alla CWE-269 «Improper Privilege Management» o « Gestione impropria dei privilegi».

Estratto della scheda CVE-2022-21994 presente nell’enciclopedia di Cyberwatch

Passeremo da queste informazioni alle tecniche del MITRE ATT&CK, traducendole con un meccanismo di classificazione chiamato Common Attack Pattern Enumeration and Classification (CAPEC), che permette di descrivere i possibili schemi di attacco.

Una CVE può essere tradotta nelle tecniche attraverso la CAPEC.

E’ possibile consultare l’insieme degli schemi di attacco che utilizzano le vulnerabilità studiate attraverso il codice CWE. Per esempio, la CWE-269 « Improper Privilege Management », secondo il MITRE, risulta utilizzata in tre tipi di schemi di attacco:

Dati presenti sul sito ufficiale del MITRE per la CWE-269

E’quindi necessario consultare ogni CAPEC per identificare la presenza del marker sotto forma delle tecniche di attacco. La CAPEC-233 di seguito corrisponde secondo MITRE alla tecnica di attacco T1548.

Dati ufficiali presenti sul MITRE per la CAPEC-233

La matrice MITRE ATT&CK può essere disegnata a partire dalla tecniche legate alle differenti CVE presenti, per stabilire il percorso di attacco per il sistema IT considerato.

Partendo dalle tecniche di attacco calcolate con le CVE, un analista può tracciare la matrice MITRE ATT&CK sotto forma di rappresentazione statistica.

Considerando tutte le tecniche attivate dai vari CVE presenti nel sistema informativo, è possibile evidenziare le tecniche che rappresentano i rischi più significativi in termini di operatività.

Esempio di matrice MITRE ATT&CK per Enterprise tracciata con il Navigator e i dati di Cyberwatch

Questa immagine rappresenta quella che viene chiamata in inglese la « kill chain » del sistema IT studiato, cioè un percorso di attacco plausibile per portare a termine un cyberattacco.

L’analisi MITRE ATT&CK permette di confrontare la kill chain di un dato ambiente IT con una potenziale minaccia.

Una volta identificata la kill chain, è sufficiente proiettare sulla matrice MITRE ATT&CK le tecniche di attacco che identificano una minaccia per identificare la zona di sovrapposizione tra la minaccia analizzata e la kill chain esistente. Maggiore è la sovrapposizione, più il rischio di esecuzione della minaccia analizzata è elevato.

Un esempio: la vostra organizzazione è attaccata dal malware Hermetic Wiper?

Hermetic Wiper è un virus (attacco DDoS che distrugge i dati e rende inutilizzabili i sistemi) utilizzato contro le aziende ucraine nei mesi di gennaio e febbraio 2022.

Secondo ZScaler, il meccanismo di attacco utilizzato coinvolge diversi persone vicine al gruppo Gamaredon. MITRE fornisce un elenco completo dei Gruppi e delle minacce con le relative tecniche.

Mappa delle minacce del gruppo Gamaredon sul MITRE Navigator

Per verificare se il sistema informativo è esposto agli attacchi del gruppo Gamaredon, è sufficiente combinare la proiezione del cyber rischio attuale con i dati del gruppo Gamaredon.

In giallo, arancio e rosso la distribuzione delle tecniche di attacco; in blu i dati della minaccia Gamaredon

Il basso livello di sovrapposizione mostra che il sistema è poco o per niente esposto a un attacco come Gamaredon. Se nonostante questo l’analista desidera rafforzare le difese del sistema informatico, l’approccio consisterà nel neutralizzare per prime le vulnerabilità relative alla colonna Discovery (Esplorazione) che presenta 4 casi di sovrapposizione.

La piattaforma Cyberwatch vi permetterà di tracciare la matrice MITRE ATT&CK delle vostre vulnerabilità e di confrontare la vostra esposizione con una enciclopedia delle minacce. Cyberwatch Vulnerability Manager vi permetterà di calcolare la vostra esposizione a una minaccia con l’aiuto del MITRE ATT&CK per Enterprise.
La mappa viene creata automaticamente per voi e contiene molte famiglie di minacce pre-configurate per facilitare le vostre analisi dei rischi.