Vai al contenuto

Prossima edizione 6 luglio 2026

Sicurezza difensiva

MITRE ATT&CK

MITRE ATT&CK è una knowledge base gratuita e usata in tutto il mondo che raccoglie tattiche e tecniche reali degli attaccanti, organizzate in 14 tattiche che descrivono le fasi di un attacco informatico, dalla ricognizione fino all'impatto. I difensori la usano come linguaggio comune per descrivere, rilevare e rispondere al modo in cui gli attaccanti operano davvero.

Autore
Unihackers Team
Tempo di lettura
3 min di lettura
Ultimo aggiornamento

MITRE ATT&CK è la cosa più vicina a un dizionario condiviso del comportamento degli attaccanti che la cybersecurity abbia mai avuto. Invece di descrivere le minacce con termini vaghi, cataloga le tattiche e le tecniche concrete che gli avversari reali hanno usato in intrusioni reali, e dà a ciascuna un ID stabile. Questa struttura permette a un analista di minacce a Madrid, a un ingegnere SOC a Berlino e a un responder di incidenti a Milano di descrivere lo stesso attacco nello stesso modo. Puoi esplorare la matrice completa su MITRE ATT&CK home.

Le 14 tattiche

ATT&CK è organizzata intorno a 14 tattiche, che rappresentano le fasi di un'intrusione nell'ordine in cui un attaccante tende a percorrerle. Vanno dalla ricognizione e dallo sviluppo di risorse, passando per l'accesso iniziale, l'esecuzione, la persistenza, l'escalation dei privilegi e l'evasione delle difese, fino all'accesso alle credenziali, alla scoperta, al movimento laterale, alla raccolta, al comando e controllo, all'esfiltrazione e, infine, all'impatto.

Una tattica risponde al perché l'attaccante fa qualcosa. Dentro ogni tattica ci sono molte tecniche che rispondono al come. La persistenza si può ottenere con una web shell (T1505.003); l'evasione delle difese può usare l'iniezione di processi (T1055) o file offuscati (T1027); l'accesso alle credenziali spesso comporta il dump delle credenziali di sistema (T1003). Questi ID sono gli stessi ovunque, ed è proprio questo a rendere il framework così duraturo.

Un linguaggio comune per il lavoro di SOC e threat intel

Il vero punto di forza di ATT&CK è il coordinamento. Un team di threat hunting formula un'ipotesi ("un attaccante farebbe il dump delle credenziali, poi si muoverebbe lateralmente via SMB"), la mappa su T1003 e sulle tecniche di movimento laterale, e parte alla ricerca. Gli analisti SOC etichettano le regole di rilevamento con gli ID delle tecniche per portare alla luce i punti ciechi. I report di threat intel profilano i gruppi avversari in base alle tecniche che preferiscono. Poiché tutti puntano agli stessi ID, gli allarmi sparsi si ricompongono in un'unica storia leggibile.

ATT&CK nell'era dell'IA

ATT&CK ora viene usata per descrivere gli attacchi guidati dall'IA, non solo quelli umani. Quando Anthropic ha bloccato un'operazione di spionaggio che abusava di Claude Code, il suo team ha mappato 13.873 distinte azioni guidate dall'IA sulla matrice ATT&CK per mostrare esattamente dove operava l'agente, dalla ricognizione all'accesso alle credenziali fino all'esfiltrazione. Analizziamo quel caso e cosa significa per i difensori in come gli hacker usano l'IA. La lezione è che il framework scala: che l'operatore sia una persona o un agente autonomo, le tattiche restano le stesse, e così anche il valore di un linguaggio comune per dargli un nome.

Nel Bootcamp

Come insegniamo MITRE ATT&CK

Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su MITRE ATT&CK. Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.

Trattato in:

Modulo 8: Operazioni di Sicurezza Avanzate

Argomenti correlati che padroneggerai:Risposta agli IncidentiDFIRThreat HuntingVolatility
Scopri come lo insegniamo

360+ ore di formazione esperta • CompTIA Security+ incluso