"Fare rete" per difendere la "rete": il caso MITRE ATT&CK

(di Orazio Danilo Russo)
02/06/21
Come accennato in un mio precedente articolo, qualsiasi hacker ha un "profilo operativo di attacco", riconoscibile dall’osservazione delle sue Tattiche, Tecniche e Procedure operative (TTPs); in risposta - dalle evidenze scaturite dalle investigazioni e dallo studio dei numerosi attacchi informatici e cibernetici - le strutture di intelligence e di cyber-security hanno da tempo affinato adeguate contromisure di prevenzione e repressione.

Diversi sono i sistemi di caratterizzazione e catalogazione degli attacchi cibernetici, in genere ragionati per "modus operandi" dell’avversario; alcuni risultano ovviamente coperti dal segreto degli Stati e delle Alleanze o dal riserbo investigativo delle agenzie di contrasto, al fine di mantenere la superiorità informativa sul nemico o l’efficacia dell’azione giudiziario-repressiva. Esistono però anche iniziative di condivisione pubblica di questo importante quadro di conoscenza: il primo e più importante caposaldo difensivo, infatti, è la messa a fattor comune di un glossario, di un metodo e di un set di misure di sicurezza largamente conosciute ed applicate tra chi condivide reti, sistemi informativi e servizi informatici.

Merita evidenza a tal proposito l'iniziativa di The MITRE Corporation, organizzazione no-profit attiva sin dal 1958. Fondata sull'operatività di centri di ricerca e sviluppo finanziati con fondi pubblici statunitensi, MITRE è attiva nel supporto R&D a favore del Governo degli Stati Uniti d’America. MITRE ha sviluppato un archivio di conoscenza pubblicamente accessibile - il MITRE ATT&CK - che espone in modo indicizzato, le tattiche di attacco cyber. L'acronimo ATT&CK sta per "Adversarial Tactics, Techniques and Common Knowledge"

Nella libreria le TTPs sono descritte individuando le vulnerabilità sfruttate ed elencando i gruppi criminali di maggiore interesse, i loro profili di operatività ed codici malevoli utilizzati, descrivendone gli algoritmi e gli effetti. Per ogni categoria, MITRE ATT&CK associa le contromisure ritenute generalmente idonee a prevenire o mitigare le tattiche, per rispondere con efficacia e su più fronti ai vari incidenti, comprese le misure necessarie per il monitoraggio e il rilevamento di elementi "dormienti" o "sotto-copertura" operanti clandestinamente nei sistemi informativi o nelle reti.

Il data-base ha una interfaccia grafica intuitiva e multi-modale, per cui la ricerca può essere fatta indifferentemente che si parta dalle tattiche, piuttosto che dalle tecniche, dalle contromisure, dai codici malevoli oppure dai gruppi criminali osservati. L'archivio permette di finalizzare la ricerca per tipo di infrastruttura o di tecnologia: si possono dunque verificare le specifiche metodologie di attacco ed i modelli di minaccia cibernetica che mirano a client, portatili o desktop che siano, piuttosto che alle infrastrutture centralizzate di elaborazione, memorizzazione e servizio oppure ancora alle reti, cablate o radio che siano.

Una sezione dell’applicazione è dedicata alle minacce ai sistemi di controllo industriale (ICS). Qui la catalogazione delle azioni offensive e l’indicazione delle misure di difesa e risposta si fa più complicata e meno immediata. La causa è l'eterogeneità dell’ambiente tecnologico industriale, comprensibilmente affetto da soluzioni infrastrutturali legacy e spesso sviluppate in-house. La scarsa standardizzazione si traduce in una diversificazione di piattaforme, protocolli ed applicazioni che rende difficile uniformare le tecniche di detection e mitigation comunemente suggerite. MITRE ATT&CK mitiga il problema suggerendo una categorizzazione di alto livello degli asset di controllo industriale che semplifica e guida l'utente nell'adattamento di filosofie di protezione e risposta alla propria specifica piattaforma tecnologica.

L'applicazione inoltre propone un percorso di addestramento all'uso efficace delle risorse messe a disposizione, nonché una sezione dedicata all’alimentazione, affinamento e aggiornamento dell’archivio. Quest'ultima è agevolata da una interfaccia di raccolta delle segnalazioni di nuove evidenze che gli utenti del web inviano per contribuire a questo sforzo di "conoscenza collettiva condivisa.

Insomma una risorsa comune, questa di MITRE ATT&CK, che non può non far parte dell'armamentario di un security professional e la cui interazione consiglio vivamente sia a chi si sta formando, sia a chi - già maturo nella professionalità - intende collaborare portando elementi di esperienza personale o segnalando - nella sezione "Contribute" - nuove TTPs osservate.

È anche così che si migliora il sistema collettivo di prevenzione e risposta: facendo rete per difendere la rete!"

Per approfondire:

https://www.mitre.org/

https://attack.mitre.org