MITRE ATT&CK v19

La separazione di Defense Evasion in Stealth e Impair Defenses e le implicazioni per le organizzazioni

MITRE ATT&CK v19

È stata pubblicata ieri la release MITRE ATT&CK v191 che sostituisce la tattica Defense Evasion con due nuove tattiche distinte: Stealth e Impair Defenses.

La modifica interviene su una delle tattiche storicamente più ampie (con oltre 40 tecniche mappate) e tra le più difficili da usare in modo coerente all'interno del framework. Nella versione precedente del Matrix Enterprise, Defense Evasion (TA0005) è descritta come l'insieme delle tecniche che gli avversari impiegano per evitare il rilevamento nel corso del compromesso, includendo sia attività di occultamento sia attività di disabilitazione o alterazione dei controlli difensivi. 

MITRE ha ora chiarito che queste due logiche operative non sono equivalenti e che mantenerle sotto un unico contenitore riduce la chiarezza analitica del framework. Come ha sintetizzato il team ATT&CK nel blog ufficiale: il problema della vecchia Defense Evasion era proprio quello di aver aggregato comportamenti troppo diversi, rendendo più difficile per i difensori prioritizzare, misurare e rispondere in modo coerente.

Cosa cambia con ATT&CK v19

Con ATT&CK v19, MITRE sostituisce Defense Evasion nell'ambito Enterprise con due tattiche separate e distinte per intento avversario:

  • La prima, Stealth, ricomprende le tecniche attraverso cui l'avversario riduce la propria visibilità o rende l'attività malevola difficilmente distinguibile dal comportamento lecito. 
  • La seconda, Impair Defenses, riguarda le tecniche con cui l'avversario degrada, disabilita o compromette l'integrità dei controlli di sicurezza e delle infrastrutture di monitoraggio.

Questa distinzione è rilevante perché sposta il focus verso l'intento operativo dell'avversario. In altri termini, il framework separa due domande che, nella pratica difensiva, richiedono risposte diverse: se l'attaccante stia cercando di nascondersi all'interno di attività apparentemente normali, oppure se stia cercando di rompere o silenziare i controlli che dovrebbero rilevarlo.

Sul piano strutturale, gli elementi tecnici chiave comunicati da MITRE sono i seguenti:

  • TA0005 mantenuto per Stealth: Stealth eredita l'ID tattico TA0005, oggi associato a Defense Evasion. Questo significa che le regole e le dashboard che filtrano su tale ID continueranno a produrre risultati, ma con un perimetro concettuale più ristretto.
  • Nuovo ID per Impair Defenses: la nuova tattica ha un identificativo tattico dedicato.
  • Tecnica T1562 elevata a tattica: il parent technique T1562 - Impair Defenses verrà ritirato come tecnica; il relativo concetto viene elevato al livello di tattica e le sub-techniques saranno riesaminate e riallineate.
  • Stabilità degli ID tecnici: nella maggior parte dei casi, gli ID delle tecniche non cambieranno: cambierà principalmente la loro associazione tattica.
  • Riorganizzazione parziale: tre tecniche usciranno dall'ex Defense Evasion, e le tecniche di Email Spoofing e Impersonation saranno riorganizzate sotto una nuova tecnica Social Engineering.
  • Perimetro della modifica: la modifica riguarda il solo dominio Enterprise; i matrix Mobile e ICS resteranno invariati in questa release.

MITRE ha precisato che questa revisione costituisce una prima fase di riallineamento strutturale, cui seguiranno in release successive ulteriori affinamenti descrittivi, riallineamenti di scope e possibili deprecazioni di tecniche. Il team ATT&CK ha usato l'espressione "ripping off the Band-Aid" per descrivere l'approccio: preferire un unico cambiamento strutturale significativo piuttosto che frammentarlo in più release successive.

Stealth: occultamento, mimetizzazione e riduzione della visibilità

La nuova tattica Stealth copre i casi in cui l'avversario agisce in modo da ridurre la visibilità delle proprie azioni, facendole apparire legittime oppure confondendole nel normale rumore operativo dell'ambiente. MITRE include in questo perimetro tecniche come:

  • Hide Artifacts (T1564)
  • Obfuscated Files or Information (T1027)
  • System Binary Proxy Execution (T1218)
  • Masquerading (T1036)

In tali scenari, i controlli difensivi sono generalmente ancora attivi: EDR, SIEM e strumenti di raccolta telemetrica continuano a funzionare, ma l'attività malevola viene progettata per risultare ambigua, plausibile o apparentemente ordinaria.

Dal punto di vista operativo, ciò implica che la risposta a eventi riconducibili a Stealth resta principalmente analitica. Il tema centrale non è l'assenza di monitoraggio, ma la difficoltà di distinguere ciò che è benigno da ciò che è malevolo all'interno di eventi che, presi singolarmente, possono apparire normali. L'efficacia difensiva dipende quindi in larga misura da capacità di correlazione comportamentale, analisi contestuale, anomaly detection, forensic analysis e threat hunting.

📌 Case history: Living-Off-the-Land su infrastrutture critiche

Volt Typhoon (APT, minaccia persistente avanzata attiva almeno dal 2021) ha condotto per oltre cinque anni operazioni contro infrastrutture critiche statunitensi (energia, telecomunicazioni, trasporti) rimanendo sistematicamente non rilevato. La tecnica centrale era il Living-Off-the-Land (LotL): utilizzo esclusivo di strumenti Windows nativi come wmic.exe, PowerShell, netsh e ntdsutil, senza mai introdurre malware custom nell’ambiente. I comportamenti erano indistinguibili da normali attività amministrative. Il caso rappresenta l’esempio più citato di tecnica Stealth pura: i sistemi di monitoraggio vedevano l’attività, ma non erano in grado di distinguerla dal comportamento legittimo. Secondo i dati di settore, nel 2024 L’84% degli attacchi ad alta severità ha sfruttato strumenti legittimi di sistema piuttosto che malware custom.

Un pattern strutturale ricorrente nel quadrante Stealth è il ricorso ai cosiddetti LOLBins (Living- Off-the-Land Binaries): binari nativi di Windows, come rundll32.exe, mshta.exe, certutil.exe, regsvr32.exe, che gli attaccanti riutilizzano per eseguire codice, scaricare payload o muoversi lateralmente. Poiché questi strumenti sono firmati digitalmente e considerati affidabili dal sistema operativo, le loro esecuzioni tendono a non attivare alert basati su signature. La risposta difensiva richiede quindi analisi comportamentale e contestuale: non “certutil.exe è in esecuzione”, ma “certutil.exe sta scaricando un file da un dominio esterno non ricorrente nelle ultime 30 sessioni”.

📌 Case history: supply chain e mimetizzazione

Un codice malevolo è stato iniettato all’interno di aggiornamenti legittimi di software, distribuiti a oltre 18.000 organizzazioni. Una volta all’interno, il gruppo attaccante ha usato esclusivamente strumenti Windows nativi (PowerShell, WMI) per l’esecuzione e il movimento laterale, evitando accuratamente qualsiasi comportamento anomalo che potesse attivare regole di correlazione. La backdoor dormiva per settimane prima di attivarsi, per ridurre la correlabilità con l’evento di installazione. È un caso emblematico: i controlli difensivi funzionavano, ma non erano sufficienti a produrre un rilevamento affidabile in assenza di behavioral analytics avanzate.

La nuova tassonomia rende più evidente che non tutte le forme di elusione difensiva sono un problema di “mancanza di visibilità”: in molti casi, la visibilità esiste, ma non è sufficiente, da sola, a produrre un rilevamento affidabile.

Impair Defenses: degradazione, sabotaggio e compromissione dei controlli

Diversa è la logica della nuova tattica Impair Defenses, che MITRE descrive come l'insieme delle tecniche mediante cui l'avversario smette di limitarsi a nascondersi e passa invece a compromettere attivamente l'affidabilità delle difese. 

Tra gli esempi richiamati figurano:

  • T1562.001 - Disable or Modify Tools.
  • T1553.004 - Subvert Trust Controls: Install Root Certificate.
  • T1222 - File and Directory Permissions Modification. In questi casi, l'obiettivo non è semplicemente confondere il difensore, ma ridurre o annullare la capacità dei controlli di prevenire, rilevare o investigare le azioni successive.

La differenza rispetto a Stealth è sostanziale. Nel caso di Impair Defenses, il problema non è che i sistemi di sicurezza osservino l'attività ma la interpretino male; il problema è che tali sistemi vengano resi inaffidabili, degradati o silenti. Questo sposta il baricentro della difesa verso capacità di integrity monitoring, tamper protection, verifica continua dell'effettivo funzionamento dei controlli e rilevazione del venir meno di segnali attesi.

📌 Case history: BYOVD e disabilitazione attiva dell’EDR

Nel settembre 2024 si è rilevato un loader che distribuisce driver vulnerabili legittimamente firmati per operare a livello kernel e terminare agenti EDR e antivirus prima di avviare la cifratura. La tecnica è nota come BYOVD (Bring Your Own Vulnerable Driver): carica un driver firmato ma vulnerabile, sfrutta la vulnerabilità per ottenere accesso kernel, poi termina i processi EDR. Dalla seconda metà del 2024 all’inizio del 2025, una singola campagna BYOVD basata sul driver TrueSight ha utilizzato oltre 2.500 varianti di driver. Questo caso esemplifica perfettamente il profilo Impair Defenses: l’obiettivo non era nascondersi, ma eliminare la capacità del difensore di vedere.

📌 Case history: BYOI, abuso del processo di aggiornamento software

Nel 2025 gli attaccanti hanno sfruttato una vulnerabilità nel processo di upgrade/downgrade di un software commerciale per disabilitare la protezione endpoint senza richiedere il codice di autorizzazione della management console. La tecnica BYOI (Bring Your Own Installer) prevedeva l’avvio di un installer legittimo per una versione differente e la terminazione del processo msiexec.exe a metà del ciclo di aggiornamento, lasciando il sistema senza protezione attiva. Questa finestra è stata sufficiente per eseguire il payload ransomware su endpoint non protetti. La vulnerabilità era confermata su più versioni del software, a meno che non fosse abilitata la funzionalità “Online Authorization”.

MITRE sottolinea espressamente che la costruzione di detection basate sull'assenza di telemetria prevista o sulla perdita di integrità dei controlli è una delle aree meno presidiate nella difesa enterprise. Se il tuo agente EDR smette di inviare eventi, in quanto tempo lo rilevi? La maggior parte dei SOC è costruita per rispondere a segnali, non per rilevarne l'assenza.

Impatti strutturali sul framework ATT&CK

Dal punto di vista strutturale, questi elementi sono particolarmente importanti perché indicano che il cambiamento non sarà traumatico sul piano degli identificativi tecnici, ma significativo sul piano della semantica operativa. Molte correlazioni tecniche resteranno riutilizzabili, ma il significato tattico delle detection, dei controlli e dei report cambierà in modo non trascurabile.

Questo aspetto è rilevante per tutte le organizzazioni che utilizzano ATT&CK non solo come riferimento teorico, ma come struttura concreta per dashboard di copertura, use case library, mapping dei controlli, prioritizzazione dei gap e orchestrazione della risposta.

Le implicazioni per SOC, SIEM, SOAR e detection engineering

Sul piano operativo, la modifica introdotta da ATT&CK v19 avrà effetti soprattutto su SOC, SIEM, SOAR, attività di detection engineering e modelli di reporting. Poiché Stealth erediterà TA0005, tutte le regole, dashboard o viste che filtrano oggi su tale tactic ID continueranno formalmente a produrre risultati, ma il perimetro concettuale associato a quei risultati sarà più ristretto rispetto al passato: ciò che prima veniva letto come “Defense Evasion” dovrà essere reinterpretato, dopo il 28 aprile 2026, come copertura della sola componente legata all'occultamento e alla riduzione della visibilità.

Per contro, tutti i casi d'uso, i playbook, i contenuti SIEM o i modelli di reporting che dovranno coprire la dimensione di compromissione delle difese richiederanno un riallineamento specifico verso la nuova tattica Impair Defenses. Ciò riguarda in particolare i contenuti che oggi fanno riferimento in modo generico al parent T1562, oppure che trattano nello stesso flusso di triage sia comportamenti di occultamento sia comportamenti di sabotaggio dei controlli.

La separazione delle due tattiche rende meno sostenibile una gestione uniforme di scenari che, per natura, dovrebbero generare posture di risposta differenti: investigazione e correlazione nel caso Stealth, containment e validazione di integrità nel caso Impair Defenses. In pratica, un alert su Masquerading (T1036) richiede un'analisi di contesto e threat hunting; un alert su Disable or Modify Tools (T1562.001) richiede un contenimento immediato e una verifica dell'integrità dell'intero stack difensivo.

Ne deriva anche una considerazione più ampia: la release v19 costituisce un'opportunità per verificare se la propria architettura di detection sia costruita in modo sufficientemente maturo. Se un'organizzazione si limita a rimappare etichette e tacticID senza riesaminare la qualità effettiva delle regole, il rischio è quello di ottenere un reporting formalmente aggiornato ma sostanzialmente poco utile. Viceversa, utilizzare questa transizione per riesaminare use case, copertura, logica dei playbook e capacità di rilevare sia la presenza di anomalie sia l'assenza di segnali attesi può rafforzare concretamente il livello di prontezza operativa.

Perché questo aggiornamento è rilevante

La separazione tra Stealth e Impair Defenses è rilevante perché riflette in modo più aderente il modo in cui gli attaccanti moderni conducono le operazioni. Nella pratica, un avversario può combinare entrambe le logiche nello stesso attacco: inizialmente muoversi in modo discreto e apparentemente legittimo, successivamente degradare logging, agenti o controlli per ridurre ulteriormente il rischio di rilevazione nelle fasi successive.

Come ha osservato il team ATT&CK nel blog ufficiale di marzo 2026: “un’operazione con due intenti diversi - e due risposte difensive completamente diverse. Stealth è il nascondersi dalle difese. Impair Defenses è il romperle. Questa distinzione non è semantica: è la differenza tra aver bisogno di analisi comportamentale migliore e aver bisogno di tamper protection migliore.”

📌 Case history: schema combinato Stealth + Impair Defenses in un attacco ransomware tipico

Un pattern documentato nelle campagne ransomware più sofisticate del 2024-2025 prevede: (1) Fase Stealth — accesso iniziale tramite credenziali legittime o sfruttamento di applicazioni di gestione remota; movimento laterale con strumenti nativi (wmic, PowerShell); raccolta di credenziali con Mimikatz offuscato; tutto il traffico appare come normale attività amministrativa. (2) Fase Impair Defenses - rilevamento e terminazione degli agenti EDR tramite BYOVD o BYOI; disabilitazione del logging di Windows Event Log; eliminazione delle shadow copies tramite vssadmin; disabilitazione di Windows Defender. Solo a questo punto il gruppo avvia la cifratura, ormai in un ambiente quasi privo di monitoraggio attivo. Il cambio di fase - da nascondersi a distruggere le difese - è esattamente ciò che la nuova tassonomia rende operativamente riconoscibile e triageable in modo differenziato.

La nuova tassonomia non modifica il comportamento degli attaccanti, ma rende più leggibile, misurabile e governabile il modo in cui quel comportamento viene rappresentato e affrontato dai difensori. ATT&CK v19 non deve essere letto come un semplice riassetto editoriale, ma come un segnale metodologico importante: il framework sta esplicitando che nascondersi e rompere le difese sono due problemi distinti, con diversi presupposti, diversi segnali, diverse priorità di triage e diverse implicazioni architetturali.

In vista del rilascio della v19, appare opportuno che le organizzazioni effettuino una revisione preventiva dei riferimenti a TA0005, dei mapping verso T1562, dei playbook che instradano le risposte in base alla tattica ATT&CK e delle capacità di rilevare la compromissione o il silenziamento dei controlli di sicurezza. Pur trattandosi di un aggiornamento di framework, e non di un cambiamento nel comportamento degli avversari, il suo impatto pratico può essere significativo laddove ATT&CK sia integrato nei processi di governo, monitoraggio e risposta.

In sintesi, le priorità operative di breve termine per le organizzazioni sono:

  • Verificare tutte le regole SIEM, dashboard e filtri che referenziano TA0005: il perimetro si restringe a Stealth dopo il 28 aprile.
  • Costruire o aggiornare use case e playbook specifici per Impair Defenses, con il nuovo tactic ID quando disponibile.
  • Rivedere i playbook che oggi gestiscono congiuntamente comportamenti di occultamento e di sabotaggio: la risposta appropriata cambia radicalmente tra i due casi.
  • Introdurre o rafforzare il monitoring sull’assenza di telemetria attesa (heartbeat EDR, continuità del flusso di log, integrità degli agenti).
  • Pianificare una verifica della copertura rispetto alle sub-techniques di Impair Defenses, identificando eventuali gap in scenari BYOVD, BYOI e log tampering.

La release ATT&CK v19 introduce una distinzione che era già maturata da tempo nella realtà operativa: l'elusione delle difese non è un fenomeno unitario. Talvolta significa rendersi invisibili; altre volte significa compromettere la capacità del difensore di vedere. Separare questi due piani non rende automaticamente un'organizzazione più sicura, ma consente di ragionare in modo più preciso su copertura, use case, priorità di risposta e robustezza dei controlli. Ed è proprio questa maggiore precisione, in un contesto di minacce sempre più sofisticate, a rendere il cambiamento particolarmente rilevante.

Perché scegliere BDO

L'evoluzione del framework MITRE ATT&CK conferma quanto oggi sia essenziale disporre di un approccio alla cybersicurezza che integri governance, detection engineering, incident response e capacità di revisione continua dei controlli. 

Supportiamo le organizzazioni nell'interpretare gli impatti operativi dei cambiamenti di framework, nel riesaminare use case e coverage rispetto alle nuove tassonomie, nel rivedere processi SOC e playbook di risposta e nel rafforzare la capacità di rilevare non solo attività sospette, ma anche il degrado o il silenziamento dei presidi di sicurezza. 

L'obiettivo è accompagnare le imprese verso una postura di sicurezza più chiara, misurabile e coerente con l'evoluzione delle minacce e dei modelli di riferimento internazionali.

 

 

 1 MITRE ATT&CK è uno dei principali riferimenti internazionali per la modellazione delle tattiche e tecniche avversarie basate su osservazioni del mondo reale, ed è ampiamente utilizzato come base metodologica per threat modeling, detection engineering, threat hunting, costruzione di use case di sicurezza e reporting operativo.

Scopri come questo aggiornamento può impattare concretamente la tua strategia di sicurezza
Iscriviti alle nostre newsletter