Qu’est-ce que le cadre de travail MITRE ATT&CK ?

ATT&CK détaille le comportement et la taxonomie des actions conflictuelles dans les cycles de vie des menaces, améliorant ainsi les renseignements sur les menaces et les opérations/architectures de sécurité.

Le cadre ATT&CK se compose de deux parties : ATT&CK for Enterprise, qui est une base de connaissances détaillée couvrant le comportement vis-à-vis des réseaux IT et du cloud d’entreprise, et ATT&CK for Mobile, qui se concentre sur le comportement vis-à-vis des équipements mobiles.

MITRE a créé ATT&CK en 2013 pour documenter les tactiques, techniques et procédures (TTP, Tactics, Techniques and Procedures) courantes qui font partie des menaces persistantes avancées (APT, Advanced Persistent Threats) contre les entreprises. Sa popularité et son soutien dans l’industrie ne cessent de croître, créant ainsi une taxonomie et un modèle de relation communs pour les défenseurs et les chercheurs qui œuvrent à comprendre l’évolution des attaques et des comportements adverses et à s’en protéger.

Le cadre de travail répond à quatre principaux enjeux :

Comportements adverses

Les indicateurs classiques tels que les adresses IP, les domaines, les clés de registre ou le hachage de fichiers peuvent être rapidement modifiés par les pirates informatiques et ne sont véritablement utiles que pour la détection. Ils ne sont pas représentatifs de la façon dont les pirates interagissent avec différents systèmes. Ils indiquent uniquement qu’il y a eu une interaction avec un système à un moment donné. La détection d’éventuels comportements adverses permet de concentrer les enquêtes sur des tactiques et des techniques moins éphémères ou plus fiables.

Modèles de cycle de vie qui ne sont pas adaptés

Les cycles de vie des adversaires et les concepts de chaîne d’élimination sont un peu trop généraux pour rapporter les comportements aux défenses. Ce niveau d’abstraction particulier n’était pas utile pour mapper les TPP aux nouveaux capteurs, quel que soit leur type.

Applicabilité aux environnements réels

Il est important de baser les TPP sur les incidents et campagnes observés pour montrer que le travail est applicable.

Taxonomie commune

Les TTP doivent être comparables entre différents types de groupes adverses en utilisant la même terminologie.

Le cadre de travail ATT&CK agit comme une autorité sur les comportements et les techniques que les pirates informatiques utilisent contre les entreprises. Il élimine toute ambiguïté et définit un vocabulaire centralisé pour les professionnels du secteur. Cela les aide à échanger et à collaborer sur la façon de combattre les pirates et d’appliquer des mesures de sécurité pratiques.

Au-delà des techniques d’outils et de renseignements, le cadre apporte de la rigueur et des informations sur les menaces qui sont utiles dans les attaques opportunistes et moins ciblées. L’échelle de la cyber-douleur montre comment il complète les autres indicateurs types d’aujourd’hui.

L’échelle de la cyber-douleur, ou « Pyramid of Pain », est une représentation des types d’indicateurs de compromission (IoC, Indicators of Compromise). Elle mesure l’utilité potentielle des renseignements sur les menaces et est axée sur la réponse aux incidents et la recherche de menaces.

Trivial - Valeurs de hachage

Une valeur de hachage est générée par des algorithmes tels que MD5 et SHA et représente un fichier malveillant spécifique. Les hachages fournissent des références spécifiques aux logiciels malveillants et aux fichiers suspects utilisés par les pirates pour l’intrusion.

Comportements des pirates

Easy (Facile) - Adresse IP

Les adresses IP sont l’un des principaux indicateurs d’une source d’attaque malveillante, mais il est possible d’adopter une adresse IP à l’aide d’un service proxy et de modifier fréquemment l’adresse IP.

Simple - Noms de domaine

Un nom de domaine ou même un type de sous-domaine peut être enregistré, payé et hébergé. Cependant, de nombreux fournisseurs de services DNS ont des normes d’enregistrement suffisamment souples.

Annoying (Agaçant) - Artefacts réseau/hôte

Les artefacts réseau sont des parties d’activité qui peuvent identifier un utilisateur malveillant et le distinguer d’un utilisateur légitime. Il peut s’agir d’un modèle URI ou d’informations C2 intégrées aux protocoles réseau.

Les artefacts d’hôte sont des éléments observables causés par une activité préjudiciable sur un hôte qui identifie les activités malveillantes et les distingue des activités légitimes. Ces identificateurs incluent des clés ou des valeurs de registre connues pour être créées par des programmes malveillants, ou des fichiers/répertoires déposés dans certaines zones.

Challenging (Difficile) - Outils

Les outils sont généralement des types de logiciels qu’un pirate utilise contre vous. Il peut également s’agir d’une série d’outils fournis par le logiciel pour interagir avec le code ou le logiciel existant. Les outils incluent des utilitaires qui créent des documents malveillants pour le spear phishing, des backdoors qui établissent des informations C2, des casseurs de mots de passe ou d’autres utilitaires compromettants.

Tough! (Rude) - TTP

Les tactiques, techniques et procédures sont en haut de la pyramide. Il s’agit du processus complet par lequel un pirate accomplit sa mission, de la phase de recherche initiale à l’exfiltration des données, en passant par toutes les autres étapes.

La matrice ATT&CK est une visualisation de la relation entre les tactiques et les techniques. Les tactiques sont une idée générale de la raison pour laquelle un pirate exécute une action, et les techniques sont les actions qu’il effectue pour appuyer la tactique.

Quelles sont les tactiques du cadre de travail ATT&CK ?

Le cadre de travail ATT&CK Enterprise dispose de 14 tactiques, qui sont considérées comme le « pourquoi » de l’équation. Les tactiques sont classées comme suit :

  • Reconnaissance
  • Développement des ressources
  • Accès initial
  • Exécution
  • Persistance
  • Escalade de privilège
  • Évasion de la défense
  • Accès aux informations d’identification
  • Découverte
  • Mouvement latéral
  • Collecte
  • Commande et contrôle
  • Exfiltration

Quelles sont les techniques du cadre de travail ATT&CK ?

Chaque tactique contient une série de techniques utilisées par les programmes malveillants ou les groupes de menaces dans le cadre de la compromission d’une cible et de la réalisation de leurs objectifs. Le cadre de travail ATT&CK comporte 11 tactiques, mais il existe environ 300 techniques à connaître.

Chacune des techniques de la base de connaissances contient des informations contextuelles, telles que les autorisations requises, la plateforme qui dispose normalement de la technique et la façon de détecter les commandes et les processus là où elles sont utilisées.

Renseignement sur les menaces

La communication aux défenses dépend des menaces potentielles. Les techniques sont également hiérarchisées en fonction des caractéristiques communes des groupes et d’une analyse des écarts entre les défenses actuelles et les menaces courantes.

Détection et analyse

Méthodologie « Purple Team », sources de données, tests, analyses personnalisées et analyse OOB.

Cas d’utilisation du cadre de travail Mitre Att&ck

Émulation d’adversaires

Communications à l’équipe bleue, comportements variés de l’équipe rouge, émulation de l’adversaire basée sur les renseignements des cybermenaces et tests techniques atomiques.

Évaluations et ingénierie

Évaluez les écarts de couverture en fonction de l’utilisation réelle et hiérarchisez les mesures d’atténuation et les investissements, par exemple une technique unique, des mesures d’atténuation et la fidélité envers plusieurs techniques.

L’un des aspects importants du cadre ATT&CK est la façon dont il intègre les renseignements sur les cybermenaces (CTI, Cyber-Threat Intelligence). ATT&CK documente le comportement des pirates en fonction des rapports accessibles au public pour indiquer quels groupes utilisent quelles techniques. Généralement, les rapports documentent chacun un incident ou un groupe unique, mais ATT&CK se concentre davantage sur un type d’activité et de technique, puis associe les pirates et les groupes à l’activité. Cela permet aux techniciens de se concentrer sur les techniques les plus utilisées.

Dans le monde digital d’aujourd’hui, la capacité de votre entreprise à se préparer aux événements de sécurité, à les identifier, à réduire leur impact et à récupérer joue un rôle clé dans sa réussite. Compléter la réponse aux incidents de sécurité par le cadre de travail MITRE ATT&CK peut vous aider à vous assurer que votre entreprise est préparée, avec un accès aux ressources pour développer des modèles de menaces et des méthodologies avancées contre les cyberattaques.

À l’aide du cadre de travail MITRE ATT&CK, vos équipes de sécurité peuvent améliorer leur analyse et leur réponse aux incidents au fur et à mesure qu’ils se produisent. Elles peuvent identifier avec précision les indicateurs de compromission et hiérarchiser les menaces spécifiques. Enfin, elles peuvent améliorer les workflows automatisés à l’aide de tactiques essentielles et d’autres ressources tirées du playbook ATT&CK.

Démarrer avec Security Incident Response

MITRE ATT&CK aide les entreprises à travers des modules de renseignements sur les cybermenaces et de réponse aux incidents de sécurité, qui vous indiquent comment améliorer la réponse aux incidents et protéger les actifs précieux.