MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) è una knowledge base pubblica sviluppata e mantenuta da MITRE Corporation che cataloga le tattiche, tecniche e procedure (TTP) osservate in attacchi informatici reali condotti da attori malevoli documentati. Organizzata come una matrice navigabile, è diventata il riferimento standard internazionale per la threat intelligence, il detection engineering, il red teaming e la valutazione della maturità dei controlli di sicurezza.
Struttura gerarchica
ATT&CK organizza la conoscenza su tre livelli:
Tattiche: rappresentano l’obiettivo tattico dell’attaccante — il perché di ogni fase. Sono 14 nella versione Enterprise (la più usata):
| # | Tattica | Obiettivo |
|---|---|---|
| TA0043 | Reconnaissance | Raccogliere informazioni |
| TA0042 | Resource Development | Acquisire risorse, infrastrutture, account |
| TA0001 | Initial Access | Ottenere il primo accesso |
| TA0002 | Execution | Eseguire codice malevolo |
| TA0003 | Persistence | Mantenere l’accesso |
| TA0004 | Privilege Escalation | Ottenere privilegi superiori |
| TA0005 | Defense Evasion | Evitare il rilevamento |
| TA0006 | Credential Access | Rubare credenziali |
| TA0007 | Discovery | Esplorare l’ambiente |
| TA0008 | Lateral Movement | Muoversi verso altri sistemi |
| TA0009 | Collection | Raccogliere dati di interesse |
| TA0011 | Command & Control | Comunicare con i sistemi compromessi |
| TA0010 | Exfiltration | Estrarre i dati |
| TA0040 | Impact | Danneggiare sistemi o dati |
Tecniche: il come l’attaccante realizza la tattica. Esempi: T1566 (Phishing) per Initial Access, T1078 (Valid Accounts) per Persistence, T1055 (Process Injection) per Defense Evasion. Ogni tecnica ha una pagina dettagliata con descrizione, esempi reali, dataset di detection (data sources), mitigazioni e riferimenti a gruppi APT che la usano.
Sub-tecniche: specificazioni di una tecnica. T1566.001 = Spear Phishing Attachment; T1566.002 = Spear Phishing Link; T1566.003 = Spear Phishing via Service.
Matrici ATT&CK
ATT&CK ha versioni distinte per diversi ambienti:
- Enterprise: Windows, macOS, Linux, cloud (AWS, Azure, GCP), container, reti
- Mobile: iOS e Android (con tattiche specifiche come SMS Phishing, Abuse of Device Administrator)
- ICS: sistemi di controllo industriale (con tattiche come Inhibit Response Function, Impair Process Control)
Utilizzi pratici
Threat Intelligence: i report di attribution associano i TTP osservati a gruppi APT specifici (G0016 = APT28/Fancy Bear, G0032 = Lazarus Group). Conoscere il profilo ATT&CK di un gruppo che potrebbe colpire il settore permette di prioritizzare le difese verso le tecniche che quel gruppo usa tipicamente.
Detection Engineering: ogni tecnica ATT&CK suggerisce le data sources necessarie per il rilevamento (process creation logs, network traffic, Windows Event ID specifici). Le regole Sigma e le query Splunk/KQL sono spesso mappate ai TTP ATT&CK.
Red Team e Purple Team: i penetration tester usano ATT&CK per pianificare esercizi che emulano specifici gruppi APT (threat-informed adversary emulation), testando la capacità del team difensivo di rilevare tecniche reali.
Gap Analysis e scoring: il MITRE ATT&CK Navigator permette di colorare la matrice in base alle tecniche per cui si hanno controlli di detection/prevenzione, identificando visivamente i gap nella copertura difensiva.