MITRE ATT&CK le framework cybersécurité dans Logpoint
Qu’est-ce que le framework MITRE ATT&CK ?
MITRE est une organisation à but non lucratif axée sur la cybersécurité et la résolution des problèmes de sécurité afin de créer un environnement IT plus sûr pour les entreprises. MITRE a développé le framework ATT&CK pour classer les tactiques adverses de manière universelle. ATT&CK est également une base de données que les entreprises peuvent utiliser pour référencer et documenter les comportements des menaces tout au long du cycle de vie des attaques.
Tactiques et techniques MITRE ATT&CK
Le modèle ATT&CK attribue un identifiant (ID) unique à chaque tactique adverse utilisée dans le processus type d’une intrusion. Les tactiques aident à vérifier l’existence d’une intrusion, le type d’intrusion et anticiper les éventuelles prochaines étapes. Les équipes de sécurité peuvent utiliser les tactiques lors de la surveillance et de la réponse aux incidents.
Les tactiques ne sont pas des technologies ou des actions concrètes, mais plutôt des approches conceptuelles, signifiant ainsi que le modèle ATT&CK peut être utilisé pour classer de nouvelles techniques. Les équipes de sécurité peuvent utiliser ATT&CK pour le renseignement sur les menaces (threat intelligence) et la création de rapports afin de disposer d’une approche plus rapide, plus flexible et plus informée en matière de cybersécurité.
Connaissance de la situation au niveau de l’ensemble de votre infrastructure
Toutes les fonctionnalités de sécurité dans Logpoint SIEM et toutes les alertes dans UEBA sont basées sur le framework MITRE ATT&CK. Logpoint a développé toutes les requêtes, ainsi que les futures améliorations technologiques, autour de la taxonomie commune ATT&CK. Les alertes dans Logpoint sont configurées pour les différentes étapes du modèle ATT&CK, facilitant ainsi la connaissance de la situation au niveau de l’ensemble du système. La détection avancée des menaces dans Logpoint SIEM signifie que les équipes de sécurité peuvent analyser et signaler les tendances et les comportements des entités et des utilisateurs au sein de l’entreprise.
Détection plus rapide
Les alertes sont basées sur un framework standard, permettant ainsi aux analystes de détecter plus facilement les activités malveillantes
Réponse plus rapide
Les étapes ATT&CK sont séquentielles, de sorte que les analystes peuvent prédire les actions d’un adversaire et avoir une longueur d’avance au niveau de l’investigation
Évaluation complète des risques
Il est beaucoup plus facile de cartographier la couverture en matière de sécurité et de risque lorsque vos défenses sont toutes basées sur la même taxonomie
Comprendre l’adversaire
Les équipes de sécurité peuvent créer une défense plus efficace pour protéger leur système. ATT&CK aide les équipes à comprendre l’adversaire et son fonctionnement
Pallier au manque d’expérience
Le framework ATT&CK donne aux analystes en sécurité débutants et sans grande expérience une base de connaissances pour comprendre comment investiguer et répondre aux incidents
Stratégie de défense cohérente
Vous pouvez intégrer ATT&CK à d’autres outils et services de sécurité pour standardiser l’ensemble de votre infrastructure afin de disposer d’une défense plus efficace en matière de cybersécurité
Un plan détaillé décrivant les techniques d’attaque
Le navigateur Logpoint ATT&CK contient plus d’informations sur les tactiques et techniques et indique celles couvertes par Logpoint SIEM et Logpoint UEBA. Les techniques représentent la manière avec laquelle un adversaire atteint un objectif. Les analystes en sécurité peuvent utiliser le navigateur pour faire correspondre les alertes Logpoint avec leur pertinence vis-à-vis du framework ATT&CK, de l’accès initial à l’élévation des privilèges en passant par les mouvements latéraux et l’exfiltration des données.
