Per decenni, la sicurezza informatica ha funzionato come un sistema immunitario che riconosce solo le malattie già viste. Se l’attaccante usava un indirizzo IP noto, veniva bloccato. Se ne usava uno nuovo, passava. Se il malware aveva una firma già catalogata, veniva fermato. Se era stato modificato di una riga, no. Questo modello ha un difetto strutturale: funziona solo contro gli attacchi già accaduti. Il framework Mitre ATT&CK rovescia la logica. Invece di inseguire gli indicatori, che cambiano in continuazione, mappa i comportamenti degli attaccanti che, invece, sono sorprendentemente stabili nel tempo.
Indice degli argomenti
Cos’è il Mitre ATT&CK Framework
Il framework Mitre ATT&CK è una base di conoscenza universalmente accessibile e costantemente aggiornata per rilevare le minacce alla cybersecurity sulla base dei comportamenti dei criminali informatici. Non si tratta di uno strumento commerciale né di un prodotto proprietario, ma di un progetto open, manutenuto da MitreCorporation, un’organizzazione americana no-profit che gestisce centri di ricerca e sviluppo per il governo federale degli Stati Uniti.
Il valore distintivo del framework sta nel punto di osservazione che adotta. Anziché descrivere le minacce a partire da indicatori tecnici come hash di file, indirizzi IP e firme di malware, ATT&CK documenta il comportamento degli attaccanti. Cosa cercano di ottenere, dome si muovono all’interno di una rete compromessa, quali strumenti e metodi utilizzano e in quale sequenza.
Questo cambio di prospettiva ha conseguenze pratiche enormi per i difensori: un attaccante può cambiare indirizzo IP in pochi secondi, ma modificare il proprio modus operandi richiede tempo, risorse e rischio di fallimento. Agire sui comportamenti, anziché sugli indicatori, significa costruire difese molto più durature.
Il significato dell’acronimo ATT&CK
ATT&CK sta per Adversarial Tactics, Techniques and Common Knowledge. Ogni parola dell’acronimo rimanda a un livello preciso della knowledge base:
- Tactics (tattiche): gli obiettivi intermedi di un attaccante durante un attacco – il perché di ogni azione
- Techniques (tecniche): i metodi concreti usati per raggiungere quegli obiettivi – il come
- Common Knowledge: il fatto che tutta questa conoscenza sia raccolta, verificata, standardizzata e condivisa pubblicamente
La pronuncia ufficiale, in inglese, è “miter attack”. In italiano è ormai diffuso l’uso di pronunciarlo così com’è scritto, oppure di citarlo direttamente come “il framework ATT&CK”.
Chi ha creato il framework e perché
Mitre Corporation ha avviato il progetto nel 2013 con l’obiettivo preciso di risolvere quattro problemi strutturali che affliggevano la comunità della sicurezza informatica.
Il primo era la dipendenza dagli Indicators of Compromise (IoC): hash, IP, URL e chiavi di registro sono utili per bloccare attacchi noti, ma diventano obsoleti rapidamente e non descrivono come un attaccante interagisce con i sistemi nel tempo.
Il secondo problema era la scarsa granularità dei modelli esistenti, come la Cyber Kill Chain di Lockheed Martin, che sono utili nel fornire una visione d’insieme, ma troppo astratti per guidare decisioni operative difensive.
Il terzo era la mancanza di contesto applicativo: le informazioni sulle tecniche d’attacco erano disperse, prive di un filo comune che le rendesse utilizzabili su larga scala.
Il quarto, infine, era l’assenza di una tassonomia comune: ogni team di sicurezza usava terminologie diverse per descrivere gli stessi comportamenti, cosa questa che rendeva impossibile la collaborazione efficace tra organizzazioni.
A cosa serve concretamente il Mitre ATT&CK
Serve a costruire difese basate su comportamenti reali degli attaccanti, anziché su indicatori tecnici volatili. Le applicazioni pratiche principali sono: Gap Assessment del dispositivo di sicurezza, costruzione di analytics comportamentali per i sistemi SIEM (Security Information and Event Management), red teaming e Adversary Emulation, valutazione e selezione di prodotti di sicurezza, arricchimento della Threat Intelligence.
Come è strutturato il framework: tattiche, tecniche e sotto-tecniche
La struttura del framework è gerarchica e navigabile. Al livello più alto si trovano le tattiche, che rappresentano gli obiettivi dell’attaccante. All’interno di ogni tattica si trovano le tecniche, che descrivono i metodi per raggiungere quell’obiettivo. Le tecniche, a loro volta, possono articolarsi in sotto-tecniche che descrivono varianti specifiche dell’approccio.
Ecco una visualizzazione della gerarchia:
Le 14 tattiche della matrice Enterprise
Il framework Enterprise enumera 14 tattiche, dalla Reconnaissance (TA0043) all’Impact (TA0040), con 216 tecniche e 475 sotto-tecniche nella versione 18.1 (dicembre 2025).
Ogni tattica ha un codice identificativo univoco che ne facilita il riferimento nei report e negli strumenti di sicurezza.
Ecco la matrice delle 14 tattiche:
Di seguito una descrizione sintetica di ciascuna tattica, nell’ordine in cui si manifestano tipicamente durante un attacco.
Reconnaissance (TA0043): l’attaccante raccoglie il maggior numero di informazioni sull’obiettivo: struttura della rete, dipendenti chiave, tecnologie utilizzate, indirizzi esposti. È la fase silente in cui nessun sistema viene ancora toccato.
Resource Development (TA0042): acquisizione dell’infrastruttura necessaria all’attacco – server di comando e controllo, certificati, account compromessi, strumenti personalizzati.
Initial Access (TA0001): primo ingresso nell’ambiente target. Le tecniche includono spearphishing, sfruttamento di applicazioni pubblicamente esposte, compromissione della supply chain, accesso tramite credenziali rubate.
Execution (TA0002): esecuzione di codice malevolo sui sistemi compromessi – riga di comando, scripting, exploit per esecuzione lato client.
Persistence (TA0003): meccanismi per mantenere l’accesso anche dopo riavvii o tentativi di remediation come task pianificati, servizi di sistema, modifiche al registro, backdoor.
Privilege Escalation (TA0004): tecniche per ottenere permessi più elevati tipo sfruttamento di vulnerabilità, token manipulation, dumping delle credenziali.
Defense Evasion (TA0005): bypassare i controlli di sicurezza attraverso tecniche di offuscamento del codice, disabilitazione degli strumenti di monitoraggio, process injection, uso di strumenti legittimi di sistema (living off the land).
Credential Access (TA0006): furto di credenziali valide – keylogging, attacchi brute force, credential dumping, abuso di password manager.
Discovery (TA0007): esplorazione dell’ambiente compromesso attraverso scansione della rete, enumerazione degli account, identificazione dei sistemi di sicurezza attivi.
Lateral Movement (TA0008): spostamento da un sistema all’altro all’interno della rete: – Remote Desktop Protocol (RDP), pass-the-hash, pass-the-ticket, sfruttamento di trust tra sistemi.
Collection (TA0009): raccolta dei dati di interesse tramite screenshot, keylogging, accesso a database locali, intercettazione del traffico.
Command and Control (TA0011): creazione di canali di comunicazione tra i sistemi compromessi e l’infrastruttura dell’attaccante.
Exfiltration (TA0010): trasferimento dei dati rubati all’esterno: trasferimenti crittografati, abuso del cloud storage, tunneling DNS.
Impact (TA0040): fase finale dell’attacco con distruzione dei dati, deployment di ransomware, interruzione dei servizi, manipolazione delle informazioni.
Tecniche e sotto-tecniche: il “come” dell’attacco
Per ogni tattica, ATT&CK documenta le tecniche specifiche che un attaccante può utilizzare per raggiungerla. Ogni tecnica è identificata da un codice numerico (es. T1566 per Phishing) e ogni sotto-tecnica aggiunge un secondo livello decimale (es. T1566.001 per Spearphishing Attachment).
Per ogni tecnica la knowledge base fornisce: descrizione del meccanismo, esempi di procedure usate da gruppi APT (Advanced Persistent Threat) reali, mitigazioni raccomandate e strategie di detection. Nell’aggiornamento di ottobre 2025, le sezioni di detection nelle tecniche sono state sostituire da “Detection Strategies”, con l’aggiunta di Detection Analytics e importanti aggiornamenti ai Data Components.
Le tre matrici principali: Enterprise, Mobile e ICS
Il framework si articola in tre matrici distinte, ognuna calibrata su un ambiente specifico.
La matrice Enterprise è la più estesa e copre ambienti Windows, macOS, Linux, oltre ai principali provider cloud (AWS, Azure, GCP), ambienti Office 365 e piattaforme SaaS. È il punto di riferimento per la grande maggioranza delle organizzazioni.
La matrice Mobile si concentra sulle minacce a dispositivi iOS e Android. Documenta tecniche come furto delle credenziali tramite app malevole, sfruttamento di vulnerabilità del sistema operativo, intercettazione delle comunicazioni e persistenza del malware mobile.
La matrice ICS (Industrial Control Systems) affronta le minacce specifiche per gli ambienti industriali, come sistemi SCADA, PLC, reti OT. Evidenzia tecniche volte a interrompere l’infrastruttura critica, come l’esecuzione di comandi non autorizzati su macchinari industriali o la manipolazione del firmware di dispositivi di controllo.
La storia del Mitre ATT&CK
La storia del Mitre ATT&CK Framework rappresenta l’evoluzione di un framework nato da esigenze operative concrete e diventato nel tempo uno standard globale per l’analisi e la difesa contro le minacce informatiche.
Il Fort Meade Experiment e le origini
Tutto nasce da un esperimento condotto nei laboratori di Mitre a Fort Meade, Maryland. L’obiettivo era capire se fosse possibile rilevare in modo affidabile gli attaccanti nelle fasi post-compromissione, cioè dopo che avevano già violato il perimetro.
Il team aveva allestito una rete monitorata con oltre 200 host. Un red team venne incaricato di simulare attacchi usando tecniche reali, documentate, già osservate nel mondo reale. Un blue team cercava di rilevarli e fermarli. Il white team registrava tutto.
Quattro osservazioni fondamentali emerse da quell’esperimento sono diventate le fondamenta di ATT&CK: concentrarsi sui comportamenti avversariali consente di sviluppare analytics e difese molto più efficaci degli indicatori tecnici; molti modelli di lifecycle esistenti erano troppo astratti per rilevare nuove minacce; le TTPs devono essere basate su osservazioni empiriche reali e la terminologia deve essere coerente tra gruppi attaccanti diversi per permettere confronti significativi.
Il framework viene reso pubblico nel maggio 2015 e da quel momento la sua crescita è costante.
Con quale frequenza viene aggiornato il framework
Il ciclo di release è semestrale, con due aggiornamenti l’anno, tipicamente in aprile e in ottobre. Ogni release incorpora nuove tecniche osservate nel mondo reale, aggiorna la documentazione esistente e può aggiungere nuove sotto-tecniche o deprecare quelle obsolete.
Le principali versioni
Il framework segue un ciclo di release semestrale. Tra i rilasci più recenti: ATT&CK v15.1 (aprile–ottobre 2024), v16.1 (ottobre 2024 – aprile 2025), v17.1 (aprile–ottobre 2025).
Quante tecniche contiene attualmente il framework
La versione 18.1, rilasciata a dicembre 2025, include 216 tecniche e 475 sotto-tecniche per la sola matrice Enterprise, oltre a 910 software catalogati e 176 gruppi APT documentati.
Mitre ATT&CK vs Cyber Kill Chain vs Nist CSF
Mitre ATT&CK, Cyber Kill Chain e Nist CSF sono tre riferimenti molto usati in cybersecurity, ma non vanno confusi tra loro, perché nascono per scopi diversi.
- Mitre ATT&CK è una knowledge base che cataloghi in modo molto dettagliato tattiche, tecniche e procedure usate dagli attaccanti.
- Cyber Kill Chain è un modello sequenziale che descrive le fasi tipiche di un attacco informatico dall’inizio alla fine.
- Nist CSF è, invece, un framework strategico pensato per aiutare le organizzazioni a strutturare la propria postura di sicurezza attraverso funzioni come identificazione, protezione, rilevazione, risposta e ripristino.
In altre parole, ATT&CK serve a capire come agisce l’avversario, la Kill Chain aiuta a leggere in quale fase si trova un attacco, mentre il Nist CSF offre una cornice per gestire in modo complessivo il rischio cyber.
Proprio per questa differenza di livello, i tre framework non sono alternativi ma tra loro complementari e, insieme, permettono di passare dalla comprensione tecnica dell’attacco alla costruzione di una difesa più matura e organizzata.
Differenze strutturali tra i framework
Come usarli in modo complementare
La Cyber Kill Chain di Lockheed Martin articola un attacco in 7 fasi sequenziali – ricognizione, weaponization, delivery, exploitation, installation, command and control, actions on objectives. È uno strumento eccellente per comunicare la struttura di un attacco a un pubblico non tecnico, ma non fornisce la granularità operativa necessaria per costruire regole di detection o valutare la copertura di un SOC.
Mitre ATT&CK e NIST CSF, invece, sono perfettamente complementari. NIST CSF fornisce la struttura di governance – cinque funzioni core (Identify, Protect, Detect, Respond, Recover) – che definisce cosa un’organizzazione deve fare e perché. ATT&CK riempie quella struttura di contenuto operativo con dati su come gli attaccanti tentano concretamente di violare quelle funzioni. Molte organizzazioni usano NIST CSF come framework organizzativo e ATT&CK come guida tecnica interna.
I casi d’uso di Mitre ATT&CK in azienda
Gli use case del Mitre ATT&CK in azienda riflettono il passaggio da un approccio puramente reattivo alla sicurezza a un modello più maturo, basato su intelligence, misurazione e verifica continua.
Grazie alla sua struttura orientata a tattiche, tecniche e procedure, ATT&CK viene oggi utilizzato non solo dai team di difesa, ma anche da chi si occupa di pianificazione strategica, analisi del rischio e validazione delle capacità operative.
Queste le principali casistiche di utilizzo del framework.
Threat Intelligence e rilevamento comportamentale
La Threat Intelligence tradizionale si basa sugli IoC (indicatori di compromissione): un hash di file, un indirizzo IP, una firma di malware. Questi indicatori sono utili, ma volatili perché un attaccante li può modificare in pochi minuti. Le tecniche ATT&CK, invece, descrivono comportamenti, molto più stabili nel tempo.
Un team di threat intelligence che usa ATT&CK può mappare ogni nuovo report su un gruppo APT direttamente nella matrice, ottenendo un profilo strutturato delle tattiche, tecniche e procedure (TTP) di quell’attore. Questo profilo viene poi usato per prioritizzare i controlli difensivi e per costruire analytics comportamentali nella piattaforma SIEM aziendale.
Red teaming e Adversary Emulation
Il red teaming tradizionale testa la capacità difensiva di un’organizzazione simulando un attaccante generico. Con ATT&CK il processo diventa molto più preciso e il red team può emulare un gruppo specifico che è stato identificato come rilevante per il settore dell’organizzazione usando esattamente le tecniche documentate nella knowledge base.
Questo approccio, chiamato Adversary Emulation, produce esercizi molto più realistici e azioni di remediation molto più mirate.
Gap Assessment e maturità del SOC
Uno degli usi più immediati di ATT&CK è il Gap Assessment: mappare le capacità di detection attuali dell’organizzazione sulla matrice, identificando quali tecniche vengono rilevate, quali vengono parzialmente rilevate e quali sono completamente cieche per i sistemi di monitoraggio esistenti.
Il risultato è una mappa visiva dei punti deboli che permette di prioritizzare gli investimenti in modo razionale, partendo dalle aree di rischio più elevato per il profilo specifico dell’organizzazione, non da una checklist generica.
La stessa logica si applica alla valutazione della maturità del SOC: incrociando le capacità operative del team con la copertura della matrice si ottiene una misura oggettiva di quanto il Security Operation Center sarebbe in grado di rilevare e rispondere a un attacco reale condotto con le tecniche più comuni.
Valutazione dei prodotti di sicurezza
ATT&CK fornisce un linguaggio comune per valutare e confrontare le soluzioni di sicurezza. Quando un vendor dichiara di rilevare una determinata tecnica, è possibile verificarlo in modo oggettivo mappando la sua copertura sulla matrice. Le valutazioni ATT&CK del 2025 hanno mostrato una copertura di rilevamento del 100% in scenari selezionati, e l’emulazione cloud è stata aggiunta alle valutazioni ATT&CK nel 2025.
Mitre ATT&CK sostituisce il penetration testing?
No, il penetration testing e il red teaming testano la sicurezza di un ambiente specifico con tecniche specifiche, in un momento specifico. ATT&CK è una knowledge base che informa e migliora quell’attività, ma non la sostituisce. I due approcci si integrano: un red team che usa ATT&CK produce esercizi più realistici e azioni di remediation più mirate.
Cosa sono le ATT&CK Evaluations e perché sono importanti
Le valutazioni Mitre ATT&CK Engenuity sono esercitazioni pubbliche e trasparenti in cui i principali vendor di sicurezza vengono testati contro scenari di attacco realistici, basati sulle tecniche documentate nel framework ATT&CK.
Come funzionano le valutazioni annuali
Mitre Engenuity è il braccio operativo non-profit di Mitre e conduce ogni anno valutazioni pubbliche dei principali prodotti di sicurezza aziendale.
Ogni anno Mitre Engenuity aggiorna le valutazioni per riflettere le minacce più recenti, aumentando la complessità degli scenari e includendo nuovi ambienti come il cloud o il mobile, consentendo a ogni organizzazione di valutare autonomamente quale prodotto sia più adatto al proprio profilo di rischio.
Il meccanismo è semplice: i vendor vengono sottoposti a simulazioni di attacco reali, condotte in laboratorio, che emulano il comportamento di specifici gruppi APT documentati in ATT&CK. Queste valutazioni non sono competizioni con classifiche o punteggi aggregati, ma studi di laboratorio che mostrano quanto ogni prodotto riesce a rilevare in modo granulare: per singola tecnica, per tattica, per livello di telemetria o per assenza totale di rilevamento.
Come si usa ATT&CK per valutare un vendor di sicurezza
Si chiede al vendor di mappare le capacità di rilevamento del proprio prodotto sulla matrice ATT&CK e si verifica quella mappa con dati indipendenti – ad esempio consultando i risultati pubblici delle ATT&CK Evaluations. Si confronta poi la copertura dichiarata con le tecniche più rilevanti per il proprio settore e profilo di rischio.
Come implementare il framework Mitre ATT&CK in azienda
Implementare il Mitre ATT&CK richiede un approccio graduale, che parte dalla comprensione del framework e arriva fino alla sua integrazione nei processi operativi quotidiani.
Non è necessario adottare tutto in una volta e molte organizzazioni iniziano con un uso limitato per Threat Intelligence o Detection Engineering, per poi espandere l’uso verso Gap Assessment, valutazione dei prodotti e Adversary Emulation.
Cos’è ATT&CK Navigator
Il punto di partenza nell’implementazione è spesso lo strumento ufficiale ATT&CK Navigator, che permette di visualizzare la copertura delle tecniche, confrontare diversi prodotti e allineare i propri controlli difensivi alle tattiche dei gruppi APT rilevanti per il proprio settore.
A questo segue un percorso strutturato in fasi, in cui l’organizzazione passa dall’apprendimento concettuale alla misurazione delle capacità, fino all’ottimizzazione operativa.
Le tappe per l’adozione
Solitamente, la prassi più diffusa prevede un’adozione in 4 step. Nel primo, quello della comprensione, i team apprendono la struttura del framework e iniziano a mappare le evidenze degli incident su tecniche specifiche. Nel secondo, il tracciamento, l’organizzazione documenta sistematicamente le proprie capacità di detection rispetto alla matrice, individuando i gap prioritari. Nel terzo, quello della misurazione, le capacità vengono formalmente misurate e i progressi vengono monitorati nel tempo. Nel quarto, l’ottimizzazione, il framework è integrato nei flussi operativi quotidiani dalla gestione degli alert alla produzione di reportistica e viene usato per guidare le decisioni di investimento in sicurezza.
In questo modo ATT&CK diventa parte integrante della cultura di sicurezza aziendale, non un progetto isolato né un esercizio di documentazione, ma un riferimento continuo per decidere dove investire, cosa migliorare e come misurare i progressi nella difesa contro le minacce reali.
Il framework Mitre ATT&CK è gratuito?
Mitre ATT&CK è una knowledge base globalmente accessibile, basata su osservazioni del mondo reale. Il framework, la matrice, ATT&CK Navigator e tutta la documentazione sono disponibili gratuitamente all’indirizzo attack.mitre.org.
Mitre ATT&CK funziona anche per ambienti cloud?
La matrice Enterprise include una sezione dedicata ai principali provider cloud (AWS, Azure, GCP) e a Office 365 e SaaS. L’emulazione cloud è stata aggiunta alle valutazioni ATT&CK nel 2025, riflettendo la crescente rilevanza degli ambienti cloud come vettore di attacco.
Vantaggi e limiti del framework Mitre ATT&CK
Il valore principale di ATT&CK è la capacità di tradurre la conoscenza empirica sugli attacchi in azioni difensive concrete.
Tre vantaggi in particolare emergono in modo ricorrente dall’adozione aziendale.
Il primo è il linguaggio comune. Prima di ATT&CK, ogni vendor, ogni team di sicurezza e ogni ricercatore descriveva gli stessi comportamenti con terminologie diverse. ATT&CK ha risolto questo problema fornendo un vocabolario condiviso che permette di comunicare in modo preciso, di confrontare valutazioni e di collaborare tra organizzazioni diverse senza fraintendimenti.
Il secondo è la misurabilità. La matrice permette di quantificare la copertura difensiva in modo oggettivo. Sapere che il proprio SOC rileva l’87% delle tecniche di lateral movement documentate in ATT&CK è un’informazione molto più utile di una valutazione qualitativa generica.
Il terzo è la continuità dell’aggiornamento. Con release semestrali, il framework incorpora rapidamente le nuove tecniche osservate nel mondo reale. Le organizzazioni che lo seguono sistematicamente hanno una visione aggiornata del panorama delle minacce.
I limiti del framework
I limiti, però, esistono e vanno riconosciuti. ATT&CK è un framework, non uno strumento di difesa autonomo. Descrive cosa fanno gli attaccanti, ma non implementa i controlli necessari per fermarli e la copertura della matrice richiede risorse significative. Un’organizzazione con un SOC piccolo non può pretendere di coprire tutte le 216 tecniche contemporaneamente e la prioritizzazione è essenziale.
C’è, poi, un limite legato alla “conoscenza”, perché le tecniche documentate in ATT&CK sono quelle osservate e riportate pubblicamente. Tecniche nuove, mai viste prima o usate da attori sofisticati che non sono mai stati scoperti non compaiono nella matrice. Nessun framework, per quanto aggiornato, può essere quindi esaustivo.
