Perché comprendere il comportamento e gli strumenti dei criminali informatici è fondamentale
This post is also available in:
Inglese 
Francese 
Tedesco 
Portoghese, Brasile 
Spagnolo 
Russo
Il panorama degli attacchi continua a crescere rapidamente e con tale crescita arriva la complessa sfida di tracciare tattiche, tecniche e procedure (TTP) utilizzate dai diversi soggetti responsabili. Il Centro risorse per la sicurezza informatica del National Institute of Standards and Technology (NIST) considera le TTP la descrizione del comportamento di un attore di minacce; il monitoraggio di tale comportamento è diventato un concetto essenziale per gli analisti di Cyber Threat Intelligence (CTI). Profilando e documentando le TTP dei criminali, gli addetti alla difesa della rete possono comprendere meglio il comportamento criminale e come vengono orchestrati gli attacchi specifici, consentendo loro di prepararsi e sapere rispondere e mitigare le minacce attuali e future.
Definiamo le Tattiche, Tecniche e Procedure
Spieghiamo meglio le TTP: le Tattiche sono descrizioni ad alto livello del comportamento o dell’azione che l’attore di minacce sta cercando di compiere. Ad esempio, l’Accesso Iniziale (Initial Access) è una tattica che un attore di minacce potrebbe sfruttare per guadagnare un appiglio e piantare una testa di ponte nella tua rete.
Le tecniche sono descrizioni dettagliate del comportamento o delle azioni che ci si aspetta da una tattica specifica. Ad esempio, una tecnica per ottenere l’accesso iniziale a una rete potrebbe includere un attacco di phishing.
Le procedure sono dettagli tecnici o indicazioni su come un attore di minacce sfrutterà la Tecnica per raggiungere il proprio obiettivo. Ad esempio, le procedure per un attacco di phishing includerebbero l’ordine delle operazioni o le fasi della campagna. Si tratterebbe quindi di dettagli sull’infrastruttura sfruttata per inviare l’e-mail dannosa, su chi si intende prendere di mira e su come verrebbe compromessa la macchina target.
Sfortunatamente, monitorare i comportamenti degli attori delle minacce è stata una sfida complessa per il nostro settore, principalmente perché non avevamo un quadro standardizzato e adottato universalmente a cui fare riferimento. Come menzionato nella parte 1 della nostra serie Almanacco degli hacker, a seconda dell’organizzazione di sicurezza informatica che esamina e attribuisce un dato attacco digitale, un gruppo di attacco noto come APT10 di Mandiant può essere chiamato: menuPass di Fireeye, Stone Panda di Crowdstrike o Red Apollo, Cloud Hopper e POTASSIUM di Microsoft. Ciò rende estremamente difficile documentare, segnalare e discutere degli attori delle minacce.
Fortunatamente, negli ultimi anni, l’industria ha iniziato ad adottare il framework ATT&CK Enterprise di MITRE; questo sistema mira a creare una standardizzazione basata sugli input della comunità e un catalogo di TTP utilizzate dagli attori delle minacce e dai loro alias noti.
Cos’è MITRE ATT&CK?
Il framework MITRE ATT&CK Enterprise è una knowledge base aperta e disponibile che contiene tattiche e tecniche di attacco basate su osservazioni reali. La MITRE Corporation, che ha sviluppato il framework, è un’organizzazione senza fini di lucro che gestisce i centri di ricerca e sviluppo finanziati dal governo federale (FFRDC) a sostegno del governo degli Stati Uniti. Nel corso degli anni, il framework MITRE ATT&CK è diventato una risorsa preziosa per le aziende di tutto il mondo che desiderano comprendere meglio le minacce specifiche che possono affrontare.
Il framework MITRE ATT&CK Enterprise tiene traccia delle minacce degli aggressori e le profila in un formato semplice da visualizzare che descrive in modo dettagliato le azioni che possono essere usate per compromettere la tua rete aziendale. Il framework MITRE ATT&CK fornisce un elenco esaustivo di tecniche di attacco conosciute, organizzate in 14 diverse categorie tattiche che vanno dalla ricognizione all’impatto.
MITRE ATT&CK
Questo framework viene aggiornato costantemente così da poter eseguire audit aggiornati e strutturare meglio le sue politiche difensive e i metodi di rilevamento. Il framework MITRE ATT&CK fornisce anche un linguaggio comune a tutti i settori. Incorporare la struttura e le convenzioni di denominazione utilizzate nella matrice MITRE ATT&CK nella politica di sicurezza di un’organizzazione contribuirà a portare all’uso di un linguaggio comune all’interno dell’organizzazione e del settore, rendendo più semplice documentare, segnalare e parlare dei gruppi di minacce.
ATT&CK – Controlli di sicurezza nativi della piattaforma Azure
A giugno, in collaborazione con il Centro per la difesa informata dalle minacce di MITRE (CTID, Center for Threat-Informed Defense), Microsoft ha rilasciato una matrice che mappa i controlli di sicurezza nativi della piattaforma Azure al framework MITRE ATT&CK. Il framework di Azure Security Stack è il primo del suo genere a mappare i controlli di sicurezza di un prodotto, Azure, al framework ATT&CK Enterprise aprendo così una strada che altri seguiranno. E, come riportato in un recente post sul blog di MITRE Engenuity, la prossima piattaforma a rilasciare una mappa in collaborazione con MITRE è Amazon Web Services (AWS).
[Se ti interessa ti consigliamo: La sicurezza coerente incontra la distribuzione continua su Azure]
Il framework Microsoft Azure Security Stack per i controlli di sicurezza nativi viene mappato ai TTP originali coperti nel framework MITRE ATT&CK Enterprise, fornendo ai difensori della rete risorse specifiche per la piattaforma Azure. Ciò consente ai difensori della rete di prepararsi e sapere rispondere e mitigare le minacce attuali e future all’ambiente Azure. Tornando al nostro esempio precedente di accesso iniziale tramite phishing utilizzando Microsoft Security Stack Mapping per Azure questo ci suggerirebbe di utilizzare: Analisi DNS di Azure, Azure Defender per Servizi app e Microsoft Anti-Malware per Azure per un livello minimo di protezione e rilevamento contro questo vettore di attacco.
Il mapping dei controlli di sicurezza per i prodotti al framework MITRE ATT&CK, che consente alle organizzazioni di valutare la propria copertura contro le TTP di attori delle minacce veri e concreti è esattamente ciò di cui questo settore ha bisogno al momento. Tuttavia, come indicato nel blog MITRE Engenuity, mappare uno stack di sicurezza nel framework MITRE Enterprise è un’impresa laboriosa e soggettiva data la natura del panorama delle minacce, in continua evoluzione. Indipendentemente dalle difficoltà nella produzione di tali mappature io credo che l’industria si stia muovendo rapidamente per adottare e mappare i propri stack di sicurezza nel framework MITRE ATT&CK Enterprise. Questi tipi di progetti collaborativi e pubblici consentono di costruire un linguaggio comune in tutto il settore e gettano delle fondamenta che i difensori della rete potranno usare per documentare i report e parlare di minacce specifiche di ogni prodotto.
Perché è importante comprendere il panorama delle minacce?
Le minacce odierne, senza dubbio, richiedono soluzioni a spettro completo, ma richiedono anche una conoscenza approfondita del panorama delle minacce. Uno dei modi migliori per rimanere al passo con il panorama delle minacce in continua evoluzione è studiare e contribuire alla standardizzazione dell’intelligence sulle minacce. Analizzando e profilando i modelli degli attori delle minacce e condividendoli con la comunità, possiamo comprendere meglio il comportamento criminale e il modo in cui vengono orchestrati attacchi specifici. Una comprensione più profonda delle TTP dei criminali informatici aiuterà la comunità e le organizzazioni a capire come prepararsi per rispondere a e mitigare la maggior parte delle minacce.
Una volta che si iniziano a capire le TTP dei nostri nemici, possiamo iniziare a mapparli al nostro specifico stack di sicurezza. Ciò consente agli utenti di rafforzare, rilevare, isolare, ingannare e sfrattare le TTP degli attori delle minacce impedendogli di prendere di mira il loro particolare ambiente.
