MITRE ATT&CK per PMI: comprendere e rilevare le tecniche di attacco

Scritto da ExposIQ | Marzo 21, 2026

Quando gli esperti di sicurezza parlano di cyberattacchi, ricorre spesso il termine «MITRE ATT&CK». Ma cosa si cela dietro questo framework e perché è rilevante anche per le PMI? La risposta breve: MITRE ATT&CK descrive sistematicamente come operano gli aggressori. E chi comprende come funzionano gli attacchi può proteggersi in modo più mirato.

Cos’è MITRE ATT&CK?

MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) è una base di conoscenza liberamente accessibile che documenta tecniche d’attacco reali. Il framework è stato sviluppato dall’organizzazione no-profit statunitense MITRE ed è utilizzato in tutto il mondo come standard – da ricercatori di sicurezza, autorità e sempre più anche da aziende di tutte le dimensioni.

Nel suo nucleo, MITRE ATT&CK risponde a una domanda semplice: Cosa fanno gli aggressori dopo l’accesso iniziale per raggiungere il loro obiettivo?

Il framework si articola su tre livelli:

  • Tattiche: il «cosa» – gli obiettivi generali dell’aggressore (ad es. accesso iniziale, persistenza, escalation dei privilegi, esfiltrazione dei dati)
  • Tecniche: il «come» – i metodi concreti per attuare una tattica (ad es. phishing, sfruttamento di applicazioni esposte, Pass-the-Hash)
  • Sub-tecniche: varianti più dettagliate di una tecnica (ad es. spearphishing tramite allegato e-mail vs. spearphishing tramite link)

Ad oggi, la matrice ATT&CK per reti aziendali comprende 14 tattiche e oltre 200 tecniche. Ogni tecnica è documentata con esempi reali, gruppi di aggressori osservati e contromisure raccomandate.

La matrice ATT&CK: un attacco in fasi

Un cyberattacco è raramente un evento singolo. Si svolge in fasi che MITRE ATT&CK rappresenta come tattiche. Ecco il tipico svolgimento, presentato in forma semplificata:

  1. Reconnaissance (Ricognizione): l’aggressore raccoglie informazioni sul bersaglio – siti web pubblici, record DNS, nomi di collaboratori su LinkedIn, servizi esposti.
  2. Initial Access (Accesso iniziale): il primo ingresso nella rete – spesso tramite phishing, una vulnerabilità esposta o credenziali rubate.
  3. Execution (Esecuzione): l’aggressore esegue codice malevolo sul sistema compromesso.
  4. Persistence (Persistenza): l’aggressore predispone meccanismi per mantenere l’accesso anche dopo un riavvio o un reset della password.
  5. Privilege Escalation (Escalation dei privilegi): da un account utente normale ai diritti di amministratore.
  6. Defense Evasion (Evasione delle difese): disattivare l’antivirus, cancellare i log, impiegare tecniche di offuscamento.
  7. Credential Access (Furto di credenziali): estrarre password, hash o ticket Kerberos dalla memoria o da Active Directory.
  8. Lateral Movement (Movimento laterale): dal sistema compromesso accedere ad altri sistemi nella rete.
  9. Collection (Raccolta dati): identificare e raccogliere i dati rilevanti.
  10. Exfiltration (Esfiltrazione): trasferire i dati raccolti fuori dalla rete.
  11. Impact (Impatto): crittografare i dati (ransomware), distruggere sistemi o interrompere le operazioni.

Questo svolgimento mostra che tra l’accesso iniziale e il danno effettivo ci sono spesso molti passaggi. Ogni passaggio è un’opportunità per rilevare e bloccare l’attacco.

Le 5 tecniche ATT&CK più frequenti negli ambienti PMI

Non tutte le oltre 200 tecniche sono ugualmente rilevanti per le PMI. Basandosi sulle attuali analisi delle minacce e sui report di incident response, queste cinque tecniche si riscontrano con particolare frequenza negli ambienti PMI:

1. T1566 – Phishing (Tattica: Initial Access)

Il phishing resta il vettore d’ingresso più frequente. Gli aggressori inviano e-mail dall’aspetto autentico con allegati o link dannosi. Negli ambienti PMI questo è particolarmente efficace perché spesso non sono in uso soluzioni di sicurezza e-mail specializzate e i collaboratori non vengono formati regolarmente.

Rilevanza: oltre l’80 percento degli attacchi riusciti alle PMI inizia con il phishing. Le sub-tecniche Spearphishing Attachment (T1566.001) e Spearphishing Link (T1566.002) sono particolarmente diffuse.

2. T1190 – Exploit Public-Facing Application (Tattica: Initial Access)

Gli aggressori sfruttano vulnerabilità note nelle applicazioni raggiungibili pubblicamente: server web, gateway VPN, server di posta, sistemi CMS. Questa tecnica è particolarmente efficace nelle PMI perché le patch vengono spesso installate in ritardo o non vengono affatto applicate.

Rilevanza: ogni vulnerabilità non corretta in un sistema esposto è un potenziale punto d’ingresso. Le vulnerabilità di FortiGate, Citrix ed Exchange degli ultimi anni sono esempi classici di T1190.

3. T1078 – Valid Accounts (Tattica: Initial Access / Persistence / Lateral Movement)

Gli aggressori utilizzano credenziali rubate, acquistate o indovinate per accedere con account legittimi. Questo è particolarmente difficile da rilevare perché l’accesso appare tecnicamente corretto. Le fonti di credenziali includono phishing, violazioni di dati (data breach) e attacchi brute-force.

Rilevanza: senza MFA, bastano un nome utente e una password. E in molte PMI l’MFA non è ancora implementato in modo capillare – soprattutto non per i servizi interni, VPN o RDP.

4. T1021 – Remote Services (Tattica: Lateral Movement)

Una volta nella rete, gli aggressori sfruttano servizi remoti come RDP (T1021.001), SMB/Windows Admin Shares (T1021.002) o SSH (T1021.004) per muoversi lateralmente. Nelle reti piatte delle PMI senza segmentazione, il percorso dalla postazione di lavoro al file server o al domain controller è spesso privo di filtri.

Rilevanza: la mancanza di segmentazione della rete è uno dei rischi maggiori negli ambienti PMI. Se un singolo sistema viene compromesso, l’aggressore può potenzialmente accedere a tutti i sistemi nella stessa rete.

5. T1486 – Data Encrypted for Impact (Tattica: Impact)

La crittografia dei dati – ossia il ransomware – è la tecnica di impatto più frequente negli attacchi alle PMI. Gli aggressori crittografano i file su unità locali, condivisioni di rete e sistemi di backup per estorcere un riscatto.

Rilevanza: il ransomware è la minaccia numero uno per le PMI. Ma T1486 è sempre l’ultimo passo nella catena d’attacco. Se rilevate e bloccate le tecniche precedenti, non si arriva mai a questo punto.

Dalla teoria alla pratica: utilizzare ATT&CK per la vostra difesa

Comprendere la prospettiva dell’aggressore vi aiuta a costruire la vostra difesa in modo più mirato. Invece di investire indiscriminatamente in misure di sicurezza, potete chiedervi: Quali tecniche ATT&CK verranno impiegate con maggiore probabilità contro di noi, e dove abbiamo delle lacune?

Passi pratici:

  • Mappare le vulnerabilità sulle tecniche: se sapete che la vostra appliance VPN ha una vulnerabilità nota, sapete anche che T1190 (Exploit Public-Facing Application) è uno scenario realistico. Questo aumenta l’urgenza della patch.
  • Comprendere i percorsi d’attacco: una singola vulnerabilità è pericolosa. Ma una catena di vulnerabilità (T1190 → T1078 → T1021 → T1486) è catastrofica. Se interrompete la catena in un singolo anello, prevenite l’intero attacco.
  • Prioritizzare le misure di protezione: l’MFA blocca T1078 (Valid Accounts). La segmentazione della rete ostacola T1021 (Remote Services). Il patching previene T1190. Ogni misura affronta tecniche specifiche.
  • Sviluppare capacità di rilevamento: per ogni tecnica ATT&CK esistono metodi di rilevamento raccomandati. Così potete investire in modo mirato nel monitoraggio che rileva attacchi reali.

Mappatura ATT&CK in ExposIQ

ExposIQ integra il framework MITRE ATT&CK direttamente nella valutazione delle vulnerabilità. Ogni vulnerabilità rilevata viene automaticamente mappata sulle relative tecniche ATT&CK. Questo significa concretamente:

Contestualizzazione: non vedete solo «CVE-2024-XXXXX – Critica», ma comprendete anche quali tecniche d’attacco questa vulnerabilità abilita. Una vulnerabilità che combina T1190 (Initial Access) e T1068 (Privilege Escalation) ha un’urgenza diversa rispetto a una che porta solo alla divulgazione di informazioni.

Visualizzazione dei percorsi d’attacco: ExposIQ mostra come le singole vulnerabilità possono essere concatenate in catene d’attacco. Così non vedete solo problemi isolati, ma comprendete come un aggressore potrebbe arrivare dalla vulnerabilità A, attraverso la B, al vostro sistema più critico.

Prioritizzazione basata sul rischio: in combinazione con i punteggi EPSS (Exploit Prediction) e il catalogo KEV (Known Exploited Vulnerabilities), la mappatura ATT&CK diventa un potente strumento di prioritizzazione. Le vulnerabilità attivamente sfruttate che abilitano tecniche d’attacco critiche sono in cima alla lista.

Un framework per tutti

MITRE ATT&CK è stato originariamente sviluppato per i team di sicurezza delle grandi organizzazioni. Ma l’idea di fondo – comprendere l’aggressore per difendersi meglio – è universalmente applicabile. Non dovete essere esperti di sicurezza per trarre vantaggio da ATT&CK.

Se sapete che l’80 percento degli attacchi alle PMI inizia con il phishing (T1566) o lo sfruttamento di applicazioni esposte (T1190), sapete anche dove si trovano le vostre leve principali: sicurezza delle e-mail, sensibilizzazione dei collaboratori e patching coerente.

ExposIQ rende questa conoscenza accessibile alle PMI svizzere. La piattaforma traduce dati complessi sulle vulnerabilità in informazioni comprensibili e azionabili – inclusa la mappatura ATT&CK, i punteggi di rischio e le raccomandazioni concrete. Ospitata in Svizzera, disponibile in quattro lingue e a partire da CHF 99 al mese: exposiq.ch

ExposIQ è la piattaforma svizzera per la gestione automatizzata delle vulnerabilità. Aiutiamo le PMI e i fornitori di servizi IT a identificare e correggere le vulnerabilità – in modo sicuro, comprensibile e conforme alla nLPD.

Zürich, Schweiz

info@exposiq.ch
+41 43 200 02 52

Azienda

Chi siamo Contatto Blog
 Informativa sulla privacy Termini di utilizzo

Newsletter

Copyright © ExposIQ Svizzera 2026. Tutti i diritti riservati.