Kill Chain Mitre Att&ck

Le strategie di difesa basate su misure di sicurezza orientate alla prevenzione, per quanto sofisticate, sono destinate prima o poi a fallire. È ormai evidente come un programma di sicurezza aziendale efficace debba essere basato su misure di sicurezza a più livelli, che affianchino alle misure di prevenzione anche misure per la rilevazione, la risposta e il ripristino dagli attacchi.

In considerazione del fatto che attualmente gli attacchi più pericolosi prevedono, a seguito di una prima compromissione andata a buon fine, la presenza dell’attaccante all’interno della rete e dei sistemi aziendali per parecchio tempo prima che l’attacco sia rilevato, è evidente l’importanza per le aziende di sviluppare capacità di rilevare gli attacchi prima che i danni siano consistenti.

Poiché solo una parte degli attacchi può essere riconosciuto automaticamente dai tool di monitoraggio della sicurezza, introduciamo qui alcuni strumenti che, a partire dalla mappatura delle azioni effettuate generalmente dagli attaccanti, permettano ai team di incident response aziendali di rilevare eventuali attacchi il prima possibile. In questo modo verrà data la possibilità di rispondere efficacemente all’attacco in corso e di configurare gli strumenti di prevenzione e monitoraggio in modo da rilevare e bloccare eventuali attacchi similari che dovessero ripresentarsi in futuro.

In particolare, parleremo di Cyber Kill Chain e del framework MITRE ATT&CK®, individuando i lati positivi e negativi di tali strumenti, i quali costituiscono straordinarie risorse attraverso cui i team di risposta agli incidenti possono mantenersi aggiornati rispetto alle tecniche utilizzate dagli attaccanti.