Découvrez toutes les façons dont MITRE ATT&CK peut vous aider à défendre votre organisation. Construisez votre stratégie et vos politiques de sécurité en tirant le meilleur parti de cet important cadre.
Qu’est-ce que le framework MITRE ATT&CK ?
MITRE ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) est un cadre et une base de connaissances largement adoptés qui décrivent et catégorisent les tactiques, techniques et procédures (TTP) utilisées dans les cyberattaques. Créé par l’organisation à but non lucratif MITRE, ce cadre fournit aux professionnels de la sécurité des informations et un contexte qui peuvent les aider à comprendre, identifier et atténuer efficacement les cybermenaces.
Les techniques et tactiques du cadre sont organisées dans une matrice dynamique. Cela facilite la navigation et fournit également une vue holistique de l’ensemble du spectre des comportements de l’adversaire. En conséquence, le cadre est plus exploitable et utilisable que s’il s’agissait d’une liste statique.
Le cadre MITRE ATT&CK peut être trouvé ici : https://attack.mitre.org/
Attention : MITRE ATT&CK Framework Biases
Selon Etay Maor, directeur principal de la stratégie de sécurité chez Réseaux Cato« Les connaissances fournies dans le cadre MITRE ATT&CK sont dérivées de preuves réelles des comportements des attaquants. Cela les rend sensibles à certains biais dont les professionnels de la sécurité doivent être conscients. Il est important de comprendre ces limites. »
- Biais de nouveauté – Des techniques ou des acteurs nouveaux ou intéressants sont signalés, tandis que les techniques qui sont utilisées à maintes reprises ne le sont pas.
- Biais de visibilité – Les éditeurs de rapports Intel ont des biais de visibilité basés sur la manière dont ils collectent les données, ce qui entraîne une visibilité pour certaines techniques et pas pour d’autres. De plus, les techniques sont également perçues différemment pendant les incidents et après.
- Biais du producteur – Les rapports publiés par certaines organisations peuvent ne pas refléter l’ensemble de l’industrie ou du monde.
- Préjugé de la victime – Certaines organisations de victimes sont plus susceptibles de signaler ou d’être signalées que d’autres.
- Biais de disponibilité – Les auteurs de rapports incluent souvent des techniques qui leur viennent rapidement à l’esprit dans leurs rapports.
Cas d’utilisation MITRE ATT&CK Defender
Le framework MITRE ATT&CK aide les professionnels de la sécurité à rechercher et analyser diverses attaques et procédures. Cela peut aider à la veille sur les menaces, à la détection et à l’analyse, aux simulations, à l’évaluation et à l’ingénierie. Le Navigateur MITRE ATT&CK est un outil qui peut aider à explorer et à visualiser la matrice, améliorant l’analyse de la couverture défensive, la planification de la sécurité, la fréquence des techniques, etc.
Etay Maor ajoute : « Le cadre peut aller aussi loin que vous le souhaitez ou il peut être aussi élevé que vous le souhaitez. Il peut être utilisé comme un outil pour montrer la cartographie et si nous sommes bons ou mauvais. dans certaines zones, mais cela peut aller aussi loin que comprendre la procédure très spécifique et même la ligne de code qui a été utilisée dans une attaque spécifique. »
Voici quelques exemples d’utilisation du framework et du navigateur :
Analyse des acteurs de la menace
Les professionnels de la sécurité peuvent tirer parti de MITRE ATT&CK pour enquêter sur des acteurs de menace spécifiques. Par exemple, ils peuvent approfondir la matrice et apprendre quelles techniques sont utilisées par différents acteurs, comment elles sont exécutées, quels outils ils utilisent, etc. Ces informations permettent d’enquêter sur certaines attaques. Il élargit également les connaissances et la façon de penser des chercheurs en les initiant à d’autres modes de fonctionnement utilisés par les attaquants.
À un niveau supérieur, le cadre peut être utilisé pour répondre aux questions de niveau C sur les violations ou les acteurs de la menace. Par exemple, si on lui demande : « Nous pensons que nous pourrions être une cible pour les acteurs de la menace des États-nations iraniens ». Le cadre permet d’explorer les acteurs iraniens de la menace comme APT33, en montrant les techniques qu’ils utilisent, les identifiants d’attaque, etc.
Analyse d’acteurs de menaces multiples
Outre la recherche d’acteurs spécifiques, le framework MITRE ATT&CK permet également d’analyser plusieurs acteurs menaçants. Par exemple, si une préoccupation est soulevée : « En raison des récents événements politiques et militaires en Iran, nous pensons qu’il y aura des représailles sous la forme d’une cyberattaque. Quelles sont les tactiques d’attaque courantes des acteurs iraniens de la menace ? », le cadre peut être utilisé pour identifier les tactiques communes utilisées par un certain nombre d’acteurs de l’État-nation.
Voici à quoi pourrait ressembler une analyse visualisée de plusieurs acteurs menaçants, le rouge et le jaune représentant les techniques utilisées par différents acteurs et le vert représentant un chevauchement.
Analyse des écarts
Le cadre MITRE ATT&CK permet également d’analyser les lacunes existantes dans les défenses. Cela permet aux défenseurs d’identifier, de visualiser et de trier ceux pour lesquels l’organisation n’a pas de couverture.
Voici à quoi cela pourrait ressembler, avec des couleurs utilisées pour la hiérarchisation.
Essais atomiques
Finalement, le Équipe rouge atomique est une bibliothèque open source de tests mappés au framework MITRE ATT&CK. Ces tests peuvent être utilisés pour tester votre infrastructure et vos systèmes basés sur le cadre, afin d’aider à identifier et à atténuer les lacunes de couverture.
Le MITRE CTID (Center for Threat-Informed Defense)
Le MITRE CTID (Center for Threat-Informed Defense) est un centre de R&D, financé par des entités privées, qui collabore avec des organisations du secteur privé et des organisations à but non lucratif. Leur objectif est de révolutionner l’approche des adversaires grâce à la mise en commun des ressources et en mettant l’accent sur la réponse proactive aux incidents plutôt que sur les mesures réactives. Cette mission est motivée par la conviction, inspirée par John Lambert, que les défenseurs doivent passer de la pensée en listes à la pensée en graphiques s’ils veulent surmonter les avantages des attaquants.
Etay Maor commente : « C’est très important. Nous devons faciliter la collaboration entre les défenseurs à différents niveaux. Nous sommes très passionnés par cela. »
Une initiative importante dans ce contexte est le projet « Attack Flow ». Attack Flow relève le défi auquel sont confrontés les défenseurs, qui se concentrent souvent sur les comportements individuels et atomiques des attaquants. Au lieu de cela, Attack Flow utilise un nouveau langage et de nouveaux outils pour décrire le flux des techniques ATT&CK. Ces techniques sont ensuite combinées en modèles de comportement. Cette approche permet aux défenseurs et aux dirigeants de mieux comprendre le fonctionnement des adversaires, afin qu’ils puissent affiner leurs stratégies en conséquence.
Tu peux vois ici à quoi ressemble un flux d’attaque.
Avec ces flux d’attaque, les défenseurs peuvent répondre à des questions telles que :
- Qu’ont fait les adversaires ?
- Comment évoluent les adversaires ?
Les réponses peuvent les aider à capturer, partager et analyser les schémas d’attaque.
Ensuite, ils pourront répondre aux questions les plus importantes :
- Quelle est la prochaine chose la plus probable qu’ils feront ?
- Qu’avons-nous manqué ?
CTID invite la communauté à participer à ses activités et à contribuer à sa base de connaissances. Vous pouvez les contacter sur Linkedin.
Pour en savoir plus sur le framework MITRE ATT&CK, regardez l’intégralité de la masterclass ici.