Cybersecurity Nazionale Malware e attacchi Norme e adeguamenti Soluzioni aziendali Cultura cyber News, attualità e analisi Cyber sicurezza e privacy Corsi cybersecurity Chi siamo

guida e analisi tecnica

MITRE ATT&CK v19: ecco le novità strutturali della nuova versione

Home Attacchi hacker e Malware: le ultime news in tempo reale e gli approfondimenti
Partecipa al dibattito
Indirizzo copiato

Il rilascio della nuova release introduce modifiche strutturali. Il focus è sulla deprecation della tattica Defense Evasion (TA0005) e sulla sua sostituzione con due nuove tattiche: Stealthee e Impair Defenses. Ecco alcuni suggerimenti operativi e una guida alla migrazione

Pubblicato il 23 giu 2026
Aggiungi tra i preferiti su Google
Vincenzo Calabrò

Information Security & Digital Forensics Analyst and Trainer

MITRE ATT&CK guida completa; MITRE ATT&CK v19: ecco le novità strutturali della nuova versione
AI Questions Icon
Chiedi all'AI
Riassumi questo articolo
Approfondisci con altre fonti

Punti chiave

  • MITRE ATT&CK v19 (rilascio 28/04/2026) depreca Defense Evasion (TA0005) e la sostituisce con le tattiche Stealth e Impair Defenses, distinte per intento.
  • Impatto operativo: aggiornare regole SIEM, rivedere mapping tecniche (es. T1197, T1055, T1112), rifattorizzare playbook; Impair Defenses classificata high-severity.
  • Piano di migrazione: censire regole TA0005/T1562, coordinare vendor EDR/SOAR, riservare capacity per detection engineering e testare scenari Stealth e Impair Defenses.
Riassunto generato con AI

con MITRE ATT&CK v19, il cui rilascio è previsto per il 28 aprile 2026, introduce modifiche strutturali, con un focus particolare sulla deprecation della tattica Defense Evasion((TA0005) e sulla sua sostituzione con due nuove tattiche: Stealthee e Impair Defenses.

La riorganizzazione, annunciata dal team di ATT&CK, risponde alla crescente ambiguità semantica accumulata dalla tattica originale, che è diventata un contenitore eterogeneo di comportamenti malevoli privi di un obiettivo comune.

Inoltre, al fine di fornire una serie di suggerimenti operativi, ecco le implicazioni per i SOC, le attività di detection engineering adeguate, la gestione dei playbook e l’integrazione con le piattaforme SIEM.

Infine, forniamo anche una guida alla migrazione e raccomandazioni pratiche per adeguare le infrastrutture di sicurezza alla nuova architettura tassonomica.

Tre scenari di attacco dell’intelligenza artificiale: ecco come contrastarli

Il framework MITRE ATT&CK v19

MITRE ATT&CK è il framework di riferimento a livello globale per la descrizione dei comportamenti degli avversari nelle procedure di sicurezza, sia offensive che difensive.

Fin dalla sua nascita, ogni tecnica è associata a una o più tattiche che rappresentano l’obiettivo immediato dell’attaccante in una fase specifica dell’attacco. Defense Evasion (TA0005) è stata per anni una delle tattiche più diffuse e utilizzate del framework.

Con oltre 40 tecniche sotto un unico identificatore, la tattica era diventata un aggregatore di comportamenti molto diversi tra loro: dall’offuscamento del codice malevolo alla disabilitazione attiva degli strumenti di sicurezza, passando per il mascheramento dei processi e la manipolazione del registro di sistema.

Questa eterogeneità ha generato nel tempo significative difficoltà operative: i difensori si sono trovati a dover rispondere a due categorie di minacce ontologicamente distinte ovvero l’avversario che si mimetizza nell’ambiente e l’avversario che distrugge attivamente le difese, con un unico framework di riferimento.

Come indicato dallo stesso MITRE ATT&CK: “Nascondersi e sfondare non sono gli stessi comportamenti. Considerarli come un unico concetto significa che i difensori hanno cercato di rispondere a due domande completamente diverse utilizzando lo stesso schema tattico.

Quando tutto viene raggruppato nella stessa categoria, si perde chiarezza. E quando si perde chiarezza, si perde la capacità di stabilire le priorità”.

La separazione: Stealth e Impair Defenses

Con il rilascio della release 19 di ATT&CK, la tattica “Defense Evasion” viene sostituita da due nuove tattiche con scope chiaramente distinti, ciascuna focalizzata sulle intenzioni dell’avversario piuttosto che sul risultato tecnico dell’azione.

Stealth (eredita TA0005)

La tattica “Stealth” si riferisce a tutte le tecniche utilizzate dagli avversari per ridurre la propria visibilità o rendere l’attività malevola indistinguibile da quella legittima.

La peculiarità di questa tattica è che i sistemi difensivi rimangono operativi: l’avversario opera in modo che il funzionamento dei sistemi appaia normale.

Con queste tecniche, gli strumenti di sicurezza funzionano correttamente.

Il problema è che il comportamento avversario è strutturalmente identico a quello legittimo. La risposta difensiva richiesta per identificare l’attacco è di tipo analitico: behavioral analytics, anomaly detection e digital forensics.

Tabella 1. Tecniche rappresentative della tattica Stealth.
Tecnica IDNome TecnicaDescrizione sintetica
T1218System Binary Proxy ExecutionAbuso di utility Windows affidabili per eseguire payload malevoli in modo proxy
T1036MasqueradingMascheramento di file o processi
malevoli come componenti di sistema legittimi
T1027Obfuscated Files or InformationOffuscamento di codice, script e file
per eludere analisi statiche
T1564Hide ArtifactsOccultamento di artefatti malevoli
nell’ambiente compromesso

Impair Defenses (nuovo ID)

La tattica Impair Defenses include le tecniche con cui gli avversari disabilitano, degradano o compromettono attivamente i controlli di sicurezza.

A differenza della tattica Stealth, in questo caso l’intenzione è esplicita: l’avversario sa dove si trovano le difese e le abbatte deliberatamente. Queste tecniche di attacco compromettono o disattivano gli strumenti difensivi.

La risposta richiesta non è di tipo analitico, ma operativo: monitoraggio dell’integrità, protezione degli agenti di sicurezza e rilevamento delle modifiche alla configurazione.

Le tecniche di Impair Defenses non sono atti di mimetizzazione, ma azioni offensive dirette contro l’infrastruttura di sicurezza. Un avversario che disattiva Windows Defender o termina un agente EDR sta conducendo un attacco diretto alle capacità difensive.

Ciò richiede controlli tecnici dedicati, come la protezione anti-tamper, l’allerting su eventuali modifiche ai servizi di sicurezza e il monitoraggio delle policy di audit.

Modifiche strutturali al framework

La scelta degli identificatori è una decisione ponderata che ha un impatto tecnico significativo per chi ha costruito automazioni e integrazioni attorno agli ID di ATT&CK.

Per questo motivo, è importante mappare le tecniche tra la versione attuale e la nuova.

Mapping strutturale ATT&CK v18 → v19.

Tecniche di uscita

Tre tecniche comprese nell’ambito “Defense Evasion” saranno ricollocate in tattiche più appropriate.

MITRE ha annunciato che un crosswalk dettagliato sarà incluso nelle note di
rilascio del 28 aprile 2026.

Tra le modifiche note:

  • BITS Jobs (T1197): la componente Defense Evasion viene rimossa; la tecnica rimane sotto Persistence, che ne rappresenta l’obiettivo primario.
  • Process Injection (T1055): verrà suddivisa in due tecniche distinte per separare la manipolazione della memoria all’interno di un processo da Process Redirection (esecuzione di codice diverso puntando a un processo).
  • Modify Registry (T1112): proposta di eliminazione completa. L’analisi di 269 procedure associate ha rivelato che la modifica del registro è quasi sempre un mezzo per raggiungere altri obiettivi (Persistence, Execution) piuttosto che un fine in sé.
  • Email Spoofing e Impersonation: riorganizzazione sotto una nuova tecnica Social Engineering.

Impatto operativo sui sistemi di sicurezza

L’eredità dell’ID TA0005 alla tattica Stealth introduce una discontinuità semantica silenziosa particolarmente pericolosa: le regole SIEM che fanno riferimento a TA0005 continueranno a funzionare dopo il 28 aprile, ma con un insieme di tecniche più ristretto rispetto al passato.

Nessun alert cesserà di funzionare, ma la copertura si ridurrà senza che ciò sia visibile.

Impatto sulle regole SIEM

Le azioni correttive necessarie sono le seguenti:

  • aggiungere il nuovo ID di “Impair Defenses” a tutte le regole che devono coprire i comportamenti di disabilitazione dei controlli di sicurezza;
  • bisogna rivedere le regole che fanno riferimento a T1562 come parent technique, dato che questa tecnica è stata deprecata;
  • aggiornare le dashboard, i report e le KPI che aggregano per tactic ID.

Impatto sui Playbook e sull’incident response

La distinzione tra “Stealth” e “Impair Defenses” non è solo tassonomica, ma implica anche procedure di risposta fondamentalmente diverse.

Un avversario che si mimetizza richiede un’analisi comportamentale approfondita, mentre un avversario che disabilita l’EDR richiede un intervento immediato per il contenimento e il ripristino delle capacità difensive.

I playbook costruiti su “Defense Evasion” come unica voce devono essere rifattorizzati in due playbook distinti, con trigger, escalation path e SLA differenziati.

In particolare, i comportamenti di Impair Defenses dovrebbero essere considerati high-severity per impostazione predefinita, data la loro natura di attacco diretto all’infrastruttura difensiva.

Impatto sulle metriche di copertura

Gli analisti che producono tabelle di copertura ATT&CK (ad esempio, la mappatura delle regole di rilevamento sul framework) dovranno aggiornare i propri calcoli per riflettere la nuova struttura tattica.

La copertura storica su TA0005 non potrà essere automaticamente proiettata sul nuovo split senza una revisione manuale delle singole regole.

Piano di migrazione: fasi di transizione

La migrazione alla nuova versione v19 può essere strutturata in quattro fasi sequenziali, ciascuna con priorità e ownership definite.

Tabella 3. Piano di migrazione raccomandato

Checklist operativa pre-release

Prima del 28 aprile 2026, dovranno essere completati i seguenti controlli:

  • censire tutte le regole SIEM, correlation rules e dashboard che referenziano TA0005 o T1562;
  • verificare con i vendor SIEM, EDR e SOAR la roadmap di aggiornamento del mapping ATT&CK;
  • notificare agli analisti di threat intelligence e ai red team le modifiche in arrivo per allineare le future attività di TI e purple teaming;
  • preparare un template di comunicazione interna per informare gli stakeholder non tecnici sulla variazione delle metriche di copertura;
  • riservare capacity di detection engineering per le due settimane successive alla release.

Implicazioni strategiche

La decisione di MITRE di dividere “Defense Evasion” riflette la maturità del framework, che si avvicina sempre di più alla realtà operativa degli avversari. Il riconoscimento esplicito che “nascondersi” e “rompere le difese” sono comportamenti distinti rappresenta un passo significativo verso una tassonomia più utile per i difensori.

Questa separazione consente ai SOC di sviluppare logiche di rilevamento più precise, di assegnare priorità di risposta differenziate e di comunicare in modo più chiaro l’intento dell’avversario durante le analisi post-incidente.

MITRE ha esplicitamente dichiarato che il rilascio della versione 19 rappresenta la prima fase di un processo di ristrutturazione più ampio.

Nelle versioni future sono previste le seguenti novità:

  • aggiornamento delle descrizioni delle tecniche per riflettere il nuovo scoping tattico;
  • riallineamento delle tecniche al confine semantico tra Stealth e Impair Defenses;
  • mappature di procedure aggiuntive (procedure examples) verso le nuove tattiche;
  • deprecation delle tecniche che non rappresentano più comportamenti distinti.

Gli analisti di Detection Engineering devono quindi pianificare ulteriori cicli di aggiornamento nelle release successive, considerando la migrazione alla versione 19 come l’inizio di un processo pluriennale.

La nuova struttura tattica avrà un impatto anche sulle attività di threat intelligence e purple teaming.

I report di intelligence sulle minacce dovranno aggiornare la mappatura delle tattiche, tecniche e procedure (TTP) degli attori malevoli con la nuova nomenclatura.

Le esercitazioni del Purple Team dovranno testare esplicitamente sia le capacità di rilevamento per Stealth che quelle per Impair Defenses, che richiedono scenari e obiettivi diversi.

Conclusioni

La suddivisione di Defense Evasion in Stealth e Impair Defenses rappresenta la modifica strutturale più significativa al framework MITRE ATT&CK degli ultimi anni.

Questa scelta non è puramente estetica, ma riflette una comprensione più approfondita delle differenze operative tra i comportamenti avversari di mimetizzazione e di aggressione diretta alle difese.

Per chi si occupa di sicurezza informatica, la migrazione richiede azioni concrete prima e dopo il 28 aprile 2026.

Le aziende con infrastrutture di detection engineering mature assorbiranno il cambiamento in poco tempo, mentre quelle che hanno costruito regole SIEM e dashboard direttamente sull’ID TA0005, senza una chiara mappa delle tecniche sottostanti, dovranno affrontare un lavoro più approfondito, riflettendo un problema più ampio di governance della detection.

La roadmap indicata da MITRE suggerisce che si tratta di un momento di discontinuità strutturale nel framework e non di un semplice aggiornamento. Coloro che investiranno ora nella comprensione e nella migrazione accurata si troveranno in una posizione migliore per assorbire le modifiche incrementali che seguiranno nei prossimi cicli di rilascio.

Riferimenti bibliografici

  • Lusty, L. (2026, March). Defense Evasion Split: A Tale of Two Tactics. MITRE ATT&CK Blog.
  • MITRE Corporation. (2026). ATT&CK v19 Release Notes.
  • D3 Security. (2026). MITRE ATT&CK v19 Drops April 28: How to Prepare Your SOC for the Defense Evasion Split. Security Boulevard.
  • D3 Security. (2025). MITRE is Deprecating a Tactic: 3 Takeaways from the Defense Evasion
  • Break-up. https://d3security.com/blog/rip-defense-evasion-ta0005/
  • MITRE Corporation. (2025). ATT&CKcon 6.0 Session: Defense Evasion Restructuring. MITRE ATT&CK Community.
  • Sysdig. (2021). Detecting MITRE ATT&CK: Defense Evasion Techniques with Falco. https://sysdig.com/blog/mitre-defense-evasion-falco
  • Recorded Future. (2021). Top 6 MITRE ATT&CK Techniques Identified in 2020. Insikt Group Research.
@RIPRODUZIONE RISERVATA

Valuta la qualità di questo articolo

La tua opinione è importante per noi!

C
Vincenzo Calabrò
Information Security & Digital Forensics Analyst and Trainer

Leggi anche:

Partecipa alla community

guest

0 Commenti
Più recenti
Più votati
Inline Feedback
Vedi tutti i commenti

Who's Who

Argomenti

Canali

SPAZIO CISO

Vedi tutti gli approfondimenti >

Articoli correlati

  • IT procurement

  • guida operativa

    IT Procurement e sicurezza: come scegliere i vendor giusti

    10 Giu 2026

    di Paolo Tarsitano

    Condividi
  • Sextortion la GUIDA COMPLETA; Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

  • DSA e social

    Sextortion e responsabilità delle piattaforme: quando il danno diventa prevedibile

    23 Dic 2025

    di Tania Orrù

    Condividi
  • Cyber security e difesa: proteggere dati, infrastrutture senza compromettere la libertà - Difesa 2025- 2027: il progetto dell'esercito cyber prende forma

  • il punto sul bilancio

    Difesa 2025-2027: cosa serve per reagire contro guerra cyber, ibrida e cognitiva

    22 Ott 2025

    di Marco Santarelli

    Condividi
  • foxconn-ransomware-cyberattack

  • ransomware

    Foxconn nel mirino di Nitrogen, 8 TB di dati sottratti: quali impatti sulla supply chain globale

    14 Mag 2026

    di Dario Fadda

    Condividi
0
Lascia un commento, la tua opinione conta.x