Torna al blog
Deception & Defense

MITRE ATT&CK per PMI: capire le tecniche degli attaccanti

8 febbraio 2026 · 6 min di lettura

Il linguaggio universale della cybersecurity

Il MITRE ATT&CK framework è una knowledge base pubblica che cataloga le tattiche, tecniche e procedure (TTP) usate dagli attaccanti nel mondo reale. Non è teoria: ogni tecnica è documentata con esempi concreti di gruppi APT e campagne malware che l'hanno utilizzata. Al 2026, il framework contiene 14 tattiche, 201 tecniche e 424 sotto-tecniche per l'ambiente enterprise.

Le 14 tattiche: il percorso dell'attaccante

Ogni attacco segue una sequenza di tattiche (obiettivi). Le più rilevanti per le PMI:

  • Initial Access (TA0001): come l'attaccante entra. Per le PMI: phishing (T1566), exploit di servizi pubblici (T1190), account validi rubati (T1078).
  • Execution (TA0002): come esegue il codice malevolo. PowerShell (T1059.001), macro Office (T1204.002).
  • Persistence (TA0003): come resta nella rete. Task schedulati (T1053), chiavi di registro (T1547).
  • Privilege Escalation (TA0004): come ottiene permessi admin. Exploit locali, token manipulation.
  • Lateral Movement (TA0008): come si muove nella rete. SMB/Windows Admin Shares (T1021.002), RDP (T1021.001).
  • Exfiltration (TA0010): come ruba i dati. Cloud storage (T1567), canale C2 (T1041).
  • Impact (TA0040): il danno finale. Data Encrypted for Impact (T1486) — ransomware.

Come una PMI può usare ATT&CK

1. Threat profiling: identificate i gruppi attaccanti attivi nel vostro settore. Per il manifatturiero italiano nel 2025-2026: LockBit, Akira, BlackBasta. MITRE documenta le tecniche specifiche che usano.

2. Gap analysis: per ogni tecnica usata dai vostri threat actor, verificate se avete una difesa. Esempio: LockBit usa T1566.001 (spear phishing attachment) → avete email sandboxing?

3. Detection engineering: create regole di detection basate sulle tecniche ATT&CK. Esempio: T1053.005 (Scheduled Task) → monitorare la creazione di task schedulati non autorizzati.

Le 5 tecniche più usate contro le PMI

  • T1566 — Phishing: presente nel 91% degli attacchi iniziali
  • T1078 — Valid Accounts: credenziali rubate usate nel 34% dei breach
  • T1486 — Data Encrypted for Impact: ransomware, presente nel 24% degli incidenti PMI
  • T1059 — Command and Scripting Interpreter: PowerShell usato nell'80% delle intrusioni Windows
  • T1021 — Remote Services: RDP e SMB per il movimento laterale nel 45% dei casi

Strumenti gratuiti ATT&CK

  • ATT&CK Navigator: visualizzazione interattiva della copertura difensiva
  • CALDERA: piattaforma di adversary emulation automatizzata di MITRE
  • Atomic Red Team: test individuali per ogni tecnica ATT&CK

ATT&CK trasforma la cybersecurity da "speriamo di non essere colpiti" a "sappiamo cosa ci minaccia e abbiamo difese specifiche". Per una PMI, questo cambio di mentalità vale più di qualsiasi strumento.

Vuoi approfondire questo tema per la tua azienda?

Parla con noiAltri articoli