See Cynet’s Autonomous
Breach Protection in Action

Prefer a one-on-one demo? Click here

By clicking next I consent to the use of my personal data by Cynet in accordance with Cynet's Privacy Policy and by its partners

MITRE: cos’è, a cosa serve; facciamo chiarezza. Learn More

MITRE: cos’è, a cosa serve; facciamo chiarezza

June 29, 2021
Marco Lucchina

La MITRE Coporation è un’associazione americana senza scopo di lucro, nata per supportare diverse Agenzie governative in vari campi, tra cui quello della sicurezza informatica. La missione dichiarata è «risolvere problemi per rendere il mondo un posto più sicuro» e creare un ponte tra governo e industria, senza alcun interesse commerciale.

L’organizzazione ha due sedi, curiosamente una nella contea di McLean in Virginia, dove figura anche la cittadina di Langley e una in Massachussetts, a Bedford, nell’area della Greater Boston, la Silicon Valley della Cybersecurity, per la presenza di diverse installazioni governative, il National Institute of Standard and Technologies (NIST), il Massachissetts Institute of Technologies (MIT) e molte aziende specializzate in questo campo. Tra le sopracitate, la collaborazione più importante è quella con il NIST, insieme hanno creato il National Cybersecurity Center of Excellence e, de-facto, lo STANDARD globale in termini di sicurezza informatica.

Il MITRE ha il grande vantaggio di funzionare seguendo un modello che pareva sepolto dal primato del business: mettere insieme innovatori, ricercatori e studiosi con il fine di far progredire la conoscenza in un determinato ambito e condividerla. Per funzionare deve essere il «pubblico» ad organizzare, mentre i finanziamenti possono arrivare da diverse parti, la chiarezza sugli obiettivi e come verranno impiegate le conoscenze acquisiste fa la differenza. Concentrare capacità per avere risultati di qualità a cui tutti possono accedere per migliorare le loro capacità con la consapevolezza che, divisi, qualcuno potrebbe avere un vantaggio, ma non si progredirebbe alla stessa velocità lasciando ampi spazi agli avversari, che invece, tra APT – Advanced Persistent Threat – finanziati da governi meno democratici di quelli occidentali e “community” del DarkWeb si sono ben organizzati generando sinergie paragonabili a quelle delle multinazionali.

In pochi anni, complice la crescita degli attacchi e la conseguenze necessità di codificare e creare standard, il MITRE è diventato un riferimento per la Cybersecurity. Tra i più significativi risultati vi è la creazione del database delle CVE – Common Vulnerability Explosure, un programma per identificare, definire e catalogare la vulnerabilità conosciute dei software che possono creare problematiche di sicurezza. Poi, partendo dalla Kill Chain della Locker-Martin hanno creato la Collaborative Research Into Threats, codificando le attività proattive di difesa e quelle reattive di risposta, fatto emergere l’importanza dell’intelligence e sviluppato percorsi di formazione specifici per analisti.

Gli ottimi risultati di questo lavoro sono sfociati nel framework MITRE ATT&CK: un archivio globale di tutte le tecniche e le tattiche di attacco derivate dall’osservazione e dalla studio delle compromissioni che hanno avuto successo. Un riferimento intermedio tra le CVE, prettamente tecniche e la KillChain più strategica e metodologica.

Per fortuna si tratta di ricercatori, hanno la buona abitudine di documentare tutto, compreso l’approccio filosofico, definendo lo scopo e l’utilizzo dei risultati.  In questo modo è possibile analizzare i casi d’uso per i quali è stato creato il framework: un passaggio utile per verificare la propria idea di organizzazione nella difesa oltre che per comprendere meglio la vasta mole di informazioni che vengono messe a disposizione.

Gli usi ipotizzati sono:

  • Adversary Emulation: un processo finalizzato a testare la capacità di rilevamento e di mitigazione di una organizzazione verso minacce sempre più sofisticaste. ATT&CK può essere usato per creare molteplici scenari, riproducendo le tecniche, le tattiche e le procedure di diversi APT – Advanced Persistent Threat.
  • Red Teaming: addestrare una squadra super specializzata nella comprensione del modo di pensare degli attaccanti, per poter condurre simulazioni senza utilizzare la THREAT intelligence disponibile; in questo modo gli scenari diventano tutti inediti.
  • Behavioral Analytics Development: mappa i comportamenti usuali all’interno di un perimetro, creando degli schemi utili ad identificare quelli anomali. Ricerche di questo tipo integrano il lavoro degli Indicatori di Compromissione (IoC) ;
  • Defensive Gap Assessment: permette di determinare quali parti delle propria infrastruttura abbiano difese deboli o inesistenti creando una mappa dei punti ciechi e determinando, di conseguenza, le priorità di investimento.
  • SOC Maturity Assessment: testare la capacità dei propri operatori e analisti, utilizzando scenari reali e complessi.
  • Cyber Threat Intelligence Enrichment: il continuo miglioramento dei DB contenente TTPs – Tecniche, Tattiche e Procedure, ossia il piatto forte del framework ATT&CK.

ATT&CK è un’ opera che si basa sulle varie community per raccogliere cosa avviene nella rete, soprattutto in quelle aree più “selvagge” dove il contributo dei singoli progetti di ricerca è fondamentale: ogni nuova tecnica, tattica o procedura (TTP) deve essere analizzata, compresa, codificata. Il grande lavoro svolto dal MITRE è quello di aver creato una libreria universale, riconosciuta sia quando si tratta di apportare un contributo che per il suo utilizzo.

Le TTPs sono il riferimento dei produttori di tecnologia per quanto riguarda le regole basate su comportamento. Una piattaforma che si rispetti deve riuscire ad identificare chiaramente quelle già codificate lasciando alle funzioni basate su “creazione di modelli temporali e relativa generazione di anomalie” il compito di provare a rintracciare qualcosa che non era ancora stato catalogato.

Grazie ad ATT&CK, la comprensione dei comportamenti degli attaccanti è diventata una materia di studio, permettendo a chi si occupa di difesa di ampliare enormemente le opzioni in loro possesso. Le operazioni di THREAT HUNTING che derivano da questi studi sono diventati la base del lavoro degli analisti: creare indicatori di compromissione da dare in pasto ai moduli di threat hunting per identificare in modo da far partire le investigazioni da semplici sospetti che, però, potrebbero far scoprire una compromissione.

Studiando la grande mole di documentazione a disposizione traspare un punto: a fare la differenza nella DETECTION e nella RESPONSE è l’apprendimento continuo delle tecniche utilizzate dagli avversari, l’ordine nella gestione dei sistemi e ancor più di quelli di sicurezza, l’attenzione ai dettagli e il fatto di non lasciare nulla al di fuori delle politiche di sicurezza.