MITRE non è solo un’azienda che mette a confronto le diverse soluzioni di sicurezza. È un’organizzazione no-profit la cui missione è quella di creare un mondo più sicuro. Chiunque abbia dimestichezza con il mondo della sicurezza informatica, saprà che questa organizzazione è conosciuta principalmente per il suo database di vulnerabilità ed esposizioni comuni (CVE). Qualche tempo fa, l’azienda ha fatto un ulteriore passo in avanti e ha creato la matrice delle minacce MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge).
MITRE ATT&CK: cos’è esattamente?
In sostanza, MITRE ATT&CK è una knowledge base aperta che comprende le tecniche utilizzate negli attacchi mirati di vari cybercriminali. I dati sono presentati sotto forma di matrice e forniscono una panoramica di come i cybercriminali penetrano nelle infrastrutture aziendali e se ne impadroniscono, dei trucchi che usano per non essere scoperti e così via. Si tratta di una matrice delle minacce aziendali, ma MITRE sta lavorando anche su matrici che riguarderanno le tattiche dei cybercriminali per gli attacchi informatici su dispositivi mobili e sistemi di controllo industriali.
Tuttavia, MITRE ATT&CK non si occupa solo di raccogliere dati a scopo informativo. Il suo obiettivo è quello di semplificare la costruzione di modelli di minacce per vari settori e, cosa ancora più importante, questi modelli possono essere utilizzati per determinare quali minacce conosciute una soluzione di sicurezza specifica o una combinazione di soluzioni riescono a rilevare. In teoria, funziona in questo modo: un’azienda alla ricerca di una soluzione per proteggere la propria infrastruttura effettua una corrispondenza tra le capacità di ogni candidato e la matrice ATT&CK per capire quali minacce rimangono scoperte. È un po’ come il gioco del bingo. In pratica, per capire quali minacce identifica un particolare prodotto di sicurezza, MITRE conduce dei test noti come Valutazioni ATT&CK.
Valutazioni ATT&CK: come funzionano
I ricercatori del MITRE scelgono un noto gruppo APT e, per un periodo di diversi giorni, emulano gli attacchi nell’ambiente di prova della soluzione che stanno valutando (senza eseguire repliche identiche degli attacchi già avvenuti, ovviamente). Modificano invece i singoli strumenti di attacco per scoprire come la soluzione di sicurezza rilevi le varie tecniche avversarie durante le diverse fasi di un attacco. I meccanismi di risposta sono disattivati durante la valutazione (altrimenti alcune fasi sarebbero impossibili da testare).
L’attuale fase del test si chiama Valutazione APT29. In questa valutazione, i ricercatori emulano le mosse del gruppo APT29, noto anche come CozyDuke, Cozy Bear e The Dukes. Ecco un articolo dettagliato in inglese sulle valutazioni ATT&CK.
Prodotti testati e i risultati
L’ultima fase ha testato la nostra soluzione Kaspersky Endpoint Detection and Response e il servizio Kaspersky Managed Protection. Potete leggere i dati tecnici in questo articolo.
La nostra soluzione di sicurezza ha dimostrato un elevato livello di rilevamento delle tecniche chiave nelle fasi cruciali dei moderni attacchi mirati, in particolare nelle fasi cosiddette di “Execution, Persistence, Privilege Escalation, Lateral Movement”. Per i risultati completi della valutazione delle soluzioni di sicurezza Kaspersky e altri materiali relativi ad ATT&CK, vi invitiamo a consultare la pagina dedicata a MITRE ATT&CK sul nostro sito (in lingua inglese).