01Lavori02Ricerca03Chi sono04Blog05Contatti
← Blog
xdrarchitecturetools

MITRE ATT&CK in pratica: mappare incidenti reali

MITRE ATT&CK e diventato lo standard de facto per descrivere il comportamento degli attaccanti. Ma nella pratica, molte organizzazioni lo trattano come un poster decorativo nel SOC - conoscono le tattiche e le tecniche, ma non le mappano attivamente sui propri ambienti. Una guida pratica a MITRE ATT&CK dovrebbe partire dall'uso operativo, non dalla teoria. Ecco come lo uso quotidianamente in Presidio.

Mapping delle detection rules su ATT&CK

Ogni regola di detection in Wazuh e mappata su una o piu tecniche ATT&CK. Questo non e un esercizio accademico - ha conseguenze pratiche immediate. Quando mappo tutte le mie detection rules sulla matrice ATT&CK, posso visualizzare immediatamente le aree scoperte: le tecniche per cui non ho detection. Queste aree scoperte diventano priorita per lo sviluppo di nuove regole. Attualmente, Presidio copre circa 120 delle 200+ tecniche ATT&CK - e ogni settimana lavoro per colmare i gap rimanenti.

Incident analysis con ATT&CK

Quando analizzo un incidente, il primo step dopo il contenimento e mappare l'intera kill chain su ATT&CK. L'attaccante ha usato phishing (T1566)? Ha fatto discovery con net user /domain (T1087.002)? Ha usato Kerberoasting (T1558.003)? Ha esfiltrato via DNS tunneling (T1048.001)? Questa mappatura ha due benefici: primo, mi aiuta a verificare se ho rilevato tutti i passi dell'attaccante (se ne ho mancato uno, dove ho un gap di visibilita?). Secondo, alimenta il miglioramento continuo - ogni tecnica osservata diventa una detection rule da verificare o creare.

Un uso avanzato: il purple teaming guidato da ATT&CK. Prendo le tecniche piu comuni usate dal threat actor rilevante per il settore del cliente (per una banca, Carbanak; per il manifatturiero, APT41), le eseguo in ambiente controllato, e verifico se le detection le catturano. Questo approccio e enormemente piu efficiente del testing casuale - ti concentri sulle minacce reali per il tuo contesto specifico. MITRE ATT&CK non e teoria - e lo strumento piu pratico che un difensore possa avere.

Hai bisogno di un parere esperto?

Se vuoi approfondire questo argomento o ti serve una consulenza specializzata, parliamone.

Parliamone
← PrecedenteZero Trust con budget limitato: M365 + Conditional AccessSuccessivo →Costruire un portale SOC con Grafana