← Tutti gli articoli
Deception & Defense08 febbraio 2026· 6 min di lettura

MITRE ATT&CK per PMI: capire le tecniche degli attaccanti

Il framework MITRE ATT&CK cataloga le tecniche reali degli attaccanti. Ecco come una PMI può usarlo per costruire difese mirate.

Autore: Dennis Sepede · CTO & Co-founder

Il linguaggio universale della cybersecurity

Il MITRE ATT&CK framework è una knowledge base pubblica che cataloga le tattiche, tecniche e procedure (TTP) usate dagli attaccanti nel mondo reale. Non è teoria: ogni tecnica è documentata con esempi concreti di gruppi APT e campagne malware che l'hanno utilizzata. Al 2026, il framework contiene 14 tattiche, 201 tecniche e 424 sotto-tecniche per l'ambiente enterprise.

Le 14 tattiche: il percorso dell'attaccante

Ogni attacco segue una sequenza di tattiche (obiettivi). Le più rilevanti per le PMI:

  • Initial Access (TA0001): come l'attaccante entra. Per le PMI: phishing (T1566), exploit di servizi pubblici (T1190), account validi rubati (T1078).
  • Execution (TA0002): come esegue il codice malevolo. PowerShell (T1059.001), macro Office (T1204.002).
  • Persistence (TA0003): come resta nella rete. Task schedulati (T1053), chiavi di registro (T1547).
  • Privilege Escalation (TA0004): come ottiene permessi admin. Exploit locali, token manipulation.
  • Lateral Movement (TA0008): come si muove nella rete. SMB/Windows Admin Shares (T1021.002), RDP (T1021.001).
  • Exfiltration (TA0010): come ruba i dati. Cloud storage (T1567), canale C2 (T1041).
  • Impact (TA0040): il danno finale. Data Encrypted for Impact (T1486) — ransomware.

Come una PMI può usare ATT&CK

1. Threat profiling: identificate i gruppi attaccanti attivi nel vostro settore. Per il manifatturiero italiano nel 2025-2026: LockBit, Akira, BlackBasta. MITRE documenta le tecniche specifiche che usano. La piattaforma VALTA mappa automaticamente i threat actor attivi nel vostro settore alle tecniche ATT&CK.

2. Gap analysis: per ogni tecnica usata dai vostri threat actor, verificate se avete una difesa. Esempio: LockBit usa T1566.001 (spear phishing attachment) → avete email sandboxing?

3. Detection engineering: create regole di detection basate sulle tecniche ATT&CK. Esempio: T1053.005 (Scheduled Task) → monitorare la creazione di task schedulati non autorizzati.

Le 5 tecniche più usate contro le PMI

  • T1566 — Phishing: presente nel 91% degli attacchi iniziali
  • T1078 — Valid Accounts: credenziali rubate usate nel 34% dei breach
  • T1486 — Data Encrypted for Impact: ransomware, presente nel 24% degli incidenti PMI
  • T1059 — Command and Scripting Interpreter: PowerShell usato nell'80% delle intrusioni Windows
  • T1021 — Remote Services: RDP e SMB per il movimento laterale nel 45% dei casi

Strumenti gratuiti ATT&CK

  • ATT&CK Navigator: visualizzazione interattiva della copertura difensiva
  • CALDERA: piattaforma di adversary emulation automatizzata di MITRE
  • Atomic Red Team: test individuali per ogni tecnica ATT&CK

ATT&CK trasforma la cybersecurity da "speriamo di non essere colpiti" a "sappiamo cosa ci minaccia e abbiamo difese specifiche". Per una PMI, questo cambio di mentalità vale più di qualsiasi strumento. La deception platform Mirage copre le fasi Discovery, Credential Access e Lateral Movement, mentre Presidio XDR fornisce detection rule mappate su tutte le 14 tattiche.

READY?

Vuoi saperne di più?

Parla con il nostro team per capire come applicare questi insight alla tua PMI.

Richiedi DemoDiventa Partner
✓ Risposta entro 24h·✓ Nessun impegno·✓ NDA su richiesta