Le TTPs, abbreviazione di tattiche, tecniche e procedure, sono il modo in cui l'industria della sicurezza descrive come opera davvero un attaccante. Invece di ridurre una minaccia a un singolo hash di file o indirizzo IP, le TTPs catturano il comportamento a strati: l'obiettivo che l'avversario persegue, il metodo generale che impiega e i passi precisi che compie per arrivarci. Questa visione a strati è la spina dorsale della threat intelligence moderna e il linguaggio con cui i difensori confrontano gli incidenti e costruiscono rilevamenti duraturi.
La gerarchia di tattica, tecnica e procedura
Le tre lettere descrivono tre altitudini della stessa attività, dall'obiettivo astratto fino ai tasti premuti in concreto:
Un esempio concreto rende la gerarchia chiara. Immagina che un intruso voglia spingersi più a fondo in una rete. La tattica è l'accesso alle credenziali. La tecnica che sceglie è l'estrazione delle credenziali del sistema operativo (T1003). La procedura è la ricetta letterale: carica una copia rinominata di uno strumento di estrazione delle credenziali, lo esegue contro il processo LSASS per ricavarne gli hash, poi salva il risultato in un file temporaneo prima di esfiltrarlo. Cambia lo strumento o il nome del file e la procedura si sposta, ma la tecnica e la tattica restano le stesse. È proprio questa stabilità che rende le TTPs più preziose per i difensori degli indicatori usa e getta.
Come i difensori usano le TTPs
Associare l'attività osservata alle TTPs è il lavoro quotidiano del threat hunting e dell'ingegneria di rilevamento. Il framework dominante per questo è MITRE ATT&CK, che assegna a ogni tecnica un identificatore stabile (come T1003) perché i team parlino una lingua comune. Quando un analista etichetta un incidente con gli ID di ATT&CK, chiunque nel settore capisce subito cosa è successo, lo confronta con intrusioni passate e verifica se i propri sensori lo avrebbero rilevato.
Le TTPs si collocano anche vicino alla cima della cosiddetta pyramid of pain: più in alto una difesa è costruita nella piramide, più costa a un attaccante aggirarla. Ruotare un IP o ricompilare un binario è banale, ma cambiare come un gruppo opera davvero, le sue tecniche e procedure, è lento e costoso. I rilevamenti radicati nelle TTPs invecchiano quindi molto meglio di quelli basati sulle firme.
Quando le TTPs superano il framework
Un esempio recente molto eloquente arriva dalle intrusioni assistite dall'IA. Quando Anthropic ha indagato su un attacco che abusava dei suoi stessi modelli, il team ha mappato il comportamento dell'avversario su MITRE ATT&CK e ha scoperto che la maggior parte dei passi combaciava con identificatori di tecnica esistenti, dalla reconnaissance all'accesso alle credenziali fino all'esfiltrazione. Ma una capacità non aveva alcun identificatore di tecnica: l'orchestrazione autonoma dell'attacco da parte del modello stesso, che concatenava i passi con un intervento umano minimo. Questa lacuna, documentata nella nostra analisi di come gli hacker usano l'IA, dimostra che i cataloghi di TTPs sono documenti vivi. Man mano che gli avversari adottano nuovi metodi, il framework deve crescere per descriverli.
La lezione vale sia che tu difenda sia che tu attacchi: gli indicatori ti dicono cosa ha toccato un attaccante, ma le TTPs ti dicono come ragiona. Impara a leggere il comportamento a tutte e tre le altitudini e smetterai di rincorrere gli hash di ieri per iniziare ad anticipare le mosse di domani.
Come insegniamo TTPs (Tattiche, Tecniche e Procedure)
Nel nostro Cybersecurity Bootcamp, non imparerai solo la teoria su TTPs (Tattiche, Tecniche e Procedure). Praticherai con strumenti reali in laboratori pratici, guidato da professionisti del settore che usano questi concetti quotidianamente.
Trattato in:
Modulo 1: Fondamenti di Cybersecurity
360+ ore di formazione esperta • CompTIA Security+ incluso