Définition de MITRE ATT&CK Framework
Les cybercriminels du monde entier essaient constamment de nouvelles stratégies pour cibler et attaquer les entreprises. Heureusement, il existe un moyen d’avoir accès à ces stratégies et d’utiliser ces connaissances pour les contrer. Développé par MITRE, une organisation à but non lucratif financée par le gouvernement américain, le framework ATT&CK est une base de connaissances en cybersécurité sur les tactiques et techniques adverses basées sur des observations réelles réalisées sur le terrain. Le framework est utile dans de nombreux domaines liés à la cybersécurité, aidant les entreprises à développer leur intelligence sur les menaces (Threat Intelligence) et à renforcer les défenses du réseau contre les attaques.
Le framework ATT&CK est un moyen universel de classer les tactiques adverses. Il a l’avantage de s’appuyer sur une base de connaissances communautaire regroupant les techniques utilisées par les adversaires. Ce framework unifié permet aux professionnels de la sécurité de communiquer plus clairement et de partager les informations plus efficacement, contribuant finalement à l’élévation du niveau de sécurité, et ce à l’échelle mondiale.
Quelles sont les tactiques du framework ATT&CK ?
Les tactiques sont au cœur du framework ATT&CK et représentent le « pourquoi » d’une technique ATT&CK. Il s’agit de l’objectif tactique de l’adversaire : la raison pour laquelle il lance une action. Les tactiques regroupent les différentes méthodes utilisées par les attaquants, telles que « persister », « découvrir des informations », « se déplacer latéralement », « exécuter des fichiers » et « exfiltrer des données ». Le framework MITRE ATT&CK se compose actuellement de 12 tactiques faciles à comprendre.
| Nom de la tactique | L’adversaire essaie … |
|---|---|
| Initial Access (Accès initial) | De pénétrer dans votre réseau. |
| Execution (Exécution) | D’exécuter du code malveillant. |
| Persistence (Persistance) | De garder un pied dans votre système. |
| Privilege Escalation (Elévation de privilèges) | D’obtenir des autorisations de niveau supérieur. |
| Defense Evasion (Évasion de la défense) | D’éviter d’être détecté. |
| Credential Access (Accès aux identifiants) | De voler les noms de compte et les mots de passe. |
| Discovery (Découverte) | De découvrir plus en profondeur votre environnement. |
| Lateral Movement (Mouvement latéral) | De se déplacer dans votre environnement. |
| Collection (Collecte) | De récupérer des données à forte valeur qui serviront leurs objectifs. |
| Command and Control | De communiquer avec les systèmes compromis pour les contrôler. |
| Exfiltration | De voler des données. |
| Impact | De manipuler, interrompre ou détruire vos systèmes et vos données. |
Quelles sont les techniques MITRE ATT&CK ?
Les techniques MITRE ATT&CK sont regroupées par tactiques et sont basées sur un ensemble d’actions que les adversaires lancent pour atteindre leurs objectifs malfaisants.
Chaque technique ATT&CK a été observée comme étant utilisée par des groupes de malwares ou d’acteurs malveillants pour tenter de compromettre les réseaux d’entreprise. Les techniques sont essentiellement un playbook ou un « comment faire » permettant aux défenseurs de se préparer à l’attaque : comment les attaquants entrent-ils dans votre réseau ? Comment évitent-ils d’être repérés ? Comment évoluent-ils au sein de votre environnement réseau ?
La bibliothèque de techniques dans le framework ATT&CK est en constante évolution et comprend plus de 150 techniques et 270 sous-techniques réparties en 12 tactiques mentionnées ci-dessus.
Quels sont les avantages d’utiliser le framework MITRE ATT&CK avec votre SIEM ?
Les éditeurs SIEM sont toujours à la recherche de moyens d’améliorer leur solution pour obtenir plus de données pertinentes et d’informations qui pourront aider à détecter et à répondre à une attaque. Le framework ATT&CK permet aux analystes de mieux comprendre les spécificités d’une attaque, qu’ils peuvent ensuite communiquer aux membres de l’équipe. Cette possibilité accélère encore davantage la détection des menaces et le temps de réponse.
Le framework ATT&CK est bénéfique pour l’ensemble de l’entreprise. Il s’agit d’un excellent outil pour communiquer avec l’équipe dirigeante et les responsables sécurité. Grâce à ce framework, il est beaucoup plus facile d’obtenir un aperçu plus précis des incidents. Les auditeurs et les RSSI ont souvent besoin d’informations telles que des tableaux de bord et des rapports, et ce dernier peut justement aider à automatiser la création des informations requises.
MITRE ATT&CK dans LogPoint
LogPoint a mappé toutes les analyses avec le framework ATT&CK, permettant ainsi de combler l’écart entre la raison pour laquelle une alerte se déclenche et ce qu’elle signifie réellement. Lorsque les alertes correspondent à une technique ATT&CK, les analystes de sécurité peuvent comprendre plus rapidement comment une alerte peut être liée à une attaque plus importante afin de prendre les mesures nécessaires pour protéger leur entreprise. Les analystes peuvent également utiliser les visualisations ATT&CK dans LogPoint pour suivre les étapes d’une attaque et évaluer la couverture de sécurité.
Lorsqu’il est temps de communiquer avec d’autres employés pour documenter la valeur du SIEM et le nombre d’alertes reçues, les analystes peuvent facilement extraire un rapport de LogPoint qui inclue les ID ATT&CK. Le framework devient progressivement une norme du secteur, facilitant ainsi le mapping de la couverture de sécurité et des risques, car les alertes et les défenses sont basées sur la même taxonomie ATT&CK.
Qui est MITRE ?
Après avoir découvert tous les avantages du framework ATT&CK, vous vous demandez peut être qui sont les personnes impliquées dans cet outil. Créée en 1958, MITRE Corporation est une société américaine à but non lucratif basée à Bedford, dans le Massachusetts, et à McLean, en Virginie, et financée par le gouvernement américain. La société exploite des centres de recherche et de développement financés par le gouvernement fédéral qui aident le gouvernement des États-Unis dans la recherche et l’analyse scientifiques.
Récemment, MITRE a publié un autre outil appelé Shield, qui est un framework d’actions défensives pour aider les entreprises à contrer les attaques actuelles. Avec les frameworks ATT&CK et Shield, les entreprises disposent d’une méthode complète pour détecter les comportements adverses et mettre en œuvre des méthodes défensives afin d’aider à protéger leur entreprise.
