What is MITRE ATT&CK Framework?

Il quadro MITRE ATT&CK

Il quadro MITRE ATT&CK è progettato per costruire la consapevolezza e la comprensione di come funzionano i cyberattacchi. A tal fine, organizza le informazioni in una gerarchia, che comprende:

• Tattiche: MITRE ATT&CK Le tattiche sono obiettivi di alto livello che un aggressore può voler raggiungere durante un attacco informatico. Questo include le fasi di un attacco come l'accesso iniziale a un sistema, la compromissione degli account utente e lo spostamento laterale attraverso la rete.
• Tecniche: Per ciascuna delle Tattiche di alto livello, MITRE ATT&CK definisce più Tecniche per raggiungere l'obiettivo. Ad esempio, un aggressore può ottenere l'accesso alle credenziali dell'utente tramite un attacco di indovinare la forza bruta, rubandole dal sistema operativo e altri metodi.
• Sotto-Tecniche: Alcune tecniche di MITRE ATT&CK possono essere realizzate in vari altri modi (chiamati sotto-tecniche). Ad esempio, un attacco con password a forza bruta potrebbe essere realizzato attraverso il cracking degli hash delle password, il riempimento delle credenziali o altri mezzi.

Le Tattiche, le Tecniche e le Sotto-Tecniche di MITRE ATT&CK approfondiscono un modo specifico in cui un attaccante può raggiungere un obiettivo. Per ciascuna di queste tecniche, MITRE ATT&CK include una descrizione dell'attacco, oltre a quanto segue:

• Le procedure: Le procedure descrivono esempi specifici di utilizzo di una tecnica. Questo include il malware, gli strumenti di hacking e gli attori delle minacce noti per utilizzare quella particolare tecnica.
• Rilevamento: Per una determinata tecnica, MITRE ATT&CK raccomanda i metodi di rilevamento della tecnica. Questa sezione è preziosa per la progettazione di difese di cybersecurity, perché delinea i tipi di informazioni che devono essere raccolte per rilevare un particolare attacco.
• Mitigazione: La sezione sulla mitigazione descrive le misure che un'organizzazione può adottare per prevenire o ridurre l'impatto di una particolare tecnica. Ad esempio, l'uso dell'autenticazione a più fattori (MFA) è una mitigazione comune per le tecniche progettate per ottenere l'accesso agli account utente.

Sfruttare MITRE ATT&CK per la Difesa Informatica

Il quadro MITRE ATT&CK è concepito come uno strumento, non solo come un archivio di informazioni. I team dei centri operativi di sicurezza (SOC) possono rendere operativa la matrice MITRE ATT&CK in diversi modi, tra cui:

• Progettare le difese: Il framework MITRE ATT&Ck delinea i metodi per rilevare e mitigare diverse tecniche di attacco informatico. Queste informazioni possono essere utilizzate per garantire che un'organizzazione disponga delle difese giuste e che stia raccogliendo le informazioni necessarie per rilevare una minaccia specifica. threat intelligence può essere utilizzato per dare priorità alle tecniche su cui un'organizzazione si concentra.
• Rilevamento degli incidenti: Il quadro MITRE ATT&CK descrive i modi in cui una particolare minaccia può essere rilevata. Queste informazioni devono essere utilizzate per sviluppare regole di rilevamento in una soluzione di gestione delle informazioni e degli eventi di sicurezza (SIEM), in un firewall di nuova generazione (NGFW) e in altre soluzioni di sicurezza.
• Indagine sugli incidenti: Il quadro MITRE ATT&CK descrive il funzionamento di un particolare attacco e il malware che utilizza determinate tecniche. Queste informazioni sono preziose per le indagini sugli incidenti, perché consentono all'investigatore di identificare la Tecnica MITRE ATT&CK in uso e di sfruttare i dati aggiuntivi forniti dal framework.
• Bonifica dell'infezione: Il quadro MITRE ATT&CK descrive come viene eseguita una particolare tecnica e le capacità di diversi campioni di malware e attori delle minacce. Questo può aiutare negli sforzi di bonifica, poiché delinea le azioni che un attaccante ha intrapreso e che devono essere annullate per rimuovere l'infezione.
• Segnalazione: Standardizzando la terminologia, il quadro MITRE ATT&CK semplifica il reporting. Gli strumenti e gli analisti possono generare rapporti che fanno riferimento a particolari tecniche del framework, che forniscono ulteriori dettagli e passi di mitigazione, se necessario.
• Threat Hunting: Le descrizioni e le informazioni sul rilevamento fornite da MITRE ATT&CK possono essere preziose per la caccia alle minacce. Eseguendo una valutazione MITRE ATT&CK e lavorando su ciascuna delle tecniche descritte nel framework, i cacciatori di minacce possono determinare se sono stati presi di mira da aggressori che utilizzano una particolare tecnica e se le soluzioni di sicurezza esistenti sono in grado di rilevare e prevenire questi attacchi.

Check Point e MITRE ATT&CK

The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.

Questo offre all'analista SOC una serie di vantaggi. Quando si analizza un particolare attacco, l'uso di MITRE ATT&CK facilita la comprensione delle cause principali, del flusso dell'attacco e dell'intento dell'attaccante in ogni fase. Comprendendo cosa l'aggressore sta cercando di ottenere e come, un team SOC può facilmente capire la portata di un attacco, qualsiasi rimedio necessario e come migliorare le difese per il futuro.

By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.