Per usare una frase fatta, l’unica costante nel panorama della cyber security è che gli attacchi e le minacce cambiano costantemente. O meglio, evolvono per adattarsi al mutare degli scenari economici, delle capacità di difesa cyber di interi comparti di mercato, persino delle condizioni geopolitiche. Dietro gli attacchi ci sono infatti motivazioni ben precise, quasi sempre economiche: bersagli e tecniche di attacco sono, di volta in volta, quelli che massimizzano il ritorno economico e minimizzano lo sforzo e il rischio di essere identificati.

Se vogliamo un esempio recente di questo tipo di evoluzione cyber basta guardare l'onnipresente ransomware. Inizialmente il “rapimento” dei dati via cifratura bastava a garantire un buon ritorno economico agli attaccanti, perché bloccava di fatto l’operatività dell’impresa colpita. Oggi che molte aziende si sono adeguatamente protette con il backup dei dati, la minaccia è un’altra: non si paga per riavere le informazioni ma piuttosto per evitare che queste vengano rese pubbliche o messe in vendita online.

Dettagli da esperti? Non proprio. Seguire come variano le forme di attacco più in voga in una data fase del panorama cyber security serve a progettare forme di difesa adeguate. In particolare ora che le differenze tra le varie piattaforme di sicurezza IT si sono fatte, in molti casi, decisamente sfumate. Sapere che una certa piattaforma ha determinate funzioni di protezione è molto utile, certamente. Ma è altrettanto importante sapere quanto quella piattaforma contrasta efficacemente i profili di attacco più popolari in quel momento.

Il framework Mitre ATT&CK

La cosa non è scontata, ecco perché da qualche tempo il framework noto come Mitre ATT&CK ha assunto una particolare rilevanza. Il framework è il frutto del lavoro dell’organizzazione tecnologia no-profit Mitre, che dà supporto a varie agenzie governative statunitensi. E cerca di fotografare con precisione, a cadenza regolare, quali tecniche, tattiche e procedure (le TTP) di attacco sono usate dai principali gruppi di cyber criminali. Capire cioè in dettaglio come si muovono gli attaccanti quando vogliono penetrare nei sistemi, in modo poi da arrivare a definire indicatori chiave che permettano alle aziende di capire se sono sotto attacco e, dopo, in che modo sono state violate.

Il framework Mitre ATT&CK è per questo piuttosto complesso ed articolato. Molto più della classica “cyber kill chain” che spesso viene usata per indicare le possibili fasi di un attacco digitale. E che, all’atto pratico, risulta troppo generica e di alto livello. La matrice di attacco del modello Mitre analizza le cosa da un punto di vista nettamente pratico. Evidenziando per ogni fase di un attacco (analisi del bersaglio, sviluppo delle risorse per l’attacco, accesso iniziale, esecuzione dell’attacco vero e proprio, persistenza, e via dicendo) le possibili tecniche. Per un totale, se guardiamo alla matrice più recente, di ben 215 elementi di cui tenere conto. Oltre duecento tecniche la cui formalizzazione e messa in relazione rappresenta anche una base condivisa su cui fare valutazioni di cyber security.

SentinelOne e ImpresaCity hanno organizzato un webinar per approfondire i temi legati a MITRE ATT&CK. Vai a questa pagina per saperne di più.

Il framework Mitre ATT&CK è utile in quanto tale, perché dà allo staff di cyber security di una generica impresa una indicazione precisa su come difendersi dalle minacce in rete. Certo lo staff ha le sue competenze e le sue esperienze, ma confrontarsi con un modello “certificato” dei potenziali attacchi dà comunque una grossa mano. Come minimo perché indica quali elementi, aspetti e comportamenti della propria rete esaminare prima e con più attenzione alla ricerca di attacchi e violazioni. E nella cyber security ormai la velocità è un fatto essenziale.

Le ATT&CK Evaluation

Il passo successivo è guardare al mercato della cyber security attraverso le lenti delle ATT&CK Evaluation, test indipendenti che mettono le piattaforme di sicurezza a confronto con le TTP del momento. Ogni anno, Mitre Engenuity “mette in pratica” le indicazioni di Mitre definendo le caratteristiche di un ambiente di test in cui vengono simulate le tecniche di attacco più importanti del momento. Molti vendor di cyber security partecipano volontariamente a questi test, per mettere alla prova l’efficacia delle loro soluzioni nel rilevamento degli attacchi e nel loro contenimento.
Le ATT&CK Evaluation cambiano ogni anno, perché cambiano gli scenari della cyber security. L’edizione 2020, i cui risultati sono stati pubblicati qualche tempo fa, ha ad esempio considerato le forme di attacco portate dalle APT Carbanak e FIN7, particolarmente concentrate sugli attacchi alle aziende dei comparti Finance, Retail, Hospitality. Attenzione, però: le Evaluation non vanno considerate come una “gara” in cui qualcuno vince e qualcuno perde. Ogni vendor può mostrare punti di forza e di debolezza più in un attacco e meno in un altro, più in certi ambiti del Framework MITRE ATT&CK e meno in altri. E le valutazioni ovviamente possono cambiare molto da un anno all’altro.

Come per il Framework, anche le Evaluation rappresentano comunque una guida per muoversi in uno scenario che può apparire molto complicato. Specie per le aziende che non hanno competenze e risorse di spicco dedicate in modo mirato alla cyber security, possono essere un'indicazione che permette di selezionare le piattaforme più adeguate alle forme di protezione che si stanno cercando.