Framework MITRE ATT&CK : Définition et explications

Framework MITRE ATT&CK : Définition et explications

Hossam M.
Calendar picto
14/9/2022
Clock picto
6 min

MITRE ATT&CK® est l'acronyme de MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK). Le cadre ATT&CK de MITRE est une base de connaissances et un modèle de comportement des cyber-adversaires, reflétant les différentes phases du cycle de vie des attaques d'un adversaire et les plates-formes qu'il cible. L'abstraction des tactiques et des techniques dans le modèle fournit une taxonomie commune des actions individuelles des adversaires comprises par les aspects offensifs et défensifs de la cybersécurité. Il fournit également un niveau approprié de catégorisation des actions de l'adversaire et des moyens spécifiques de s'en défendre.

Qu'est-ce qu'ATT&CK ?

ATT&CK est une base de connaissances sur le comportement des cyber-adversaires et une taxonomie des actions des adversaires tout au long de leur cycle de vie. ATT&CK comprend deux parties : ATT&CK for Enterprise, qui couvre le comportement contre les réseaux informatiques d'entreprise et le cloud, et ATT&CK for Mobile, qui se concentre sur le comportement contre les appareils mobiles. ATT&CK est l'abréviation de Adversarial Tactics, Techniques, and Common Knowledge.

Pourquoi MITRE a-t-il développé ATT&CK ?

MITRE a lancé ATT&CK en 2013 pour documenter les TTP (Techniques, Tactics & Procédures) que les menaces persistantes avancées (APT) utilisent contre les réseaux d'entreprise. Il a été créé à partir d'un besoin de décrire les TTP des adversaires qui seraient utilisés par un projet de recherche de MITRE appelé FMX. L'objectif de FMX était d'étudier comment les données télémétriques et analytiques des points d'extrémité pouvaient contribuer à améliorer la détection post-intrusion des attaquants opérant dans les réseaux d'entreprise.  La question clé pour les chercheurs était la suivante : "Dans quelle mesure réussissons-nous à détecter le comportement documenté de l'adversaire ?". Le cadre ATT&CK a été utilisé comme base pour tester l'efficacité des capteurs et des analyses dans le cadre de FMX et a servi de langage commun que l'attaque et la défense pouvaient utiliser pour s'améliorer au fil du temps.

MITRE ATT&CK compte désormais trois itérations :

  • ATT&CK for Enterprise : Se concentre sur les comportements adverses dans les environnements Windows, Mac, Linux et Cloud.
  • ATT&CK for Mobile : Se concentre sur les comportements adverses sur les systèmes d'exploitation iOS et Android. 
  • Pre-ATT&CK™ : Se concentre sur les comportements adverses " pré-exploitation ". Pre-ATT&CK est inclus dans la matrice ATT&CK for Enterprise.

Le modèle comportemental présenté par ATT&CK contient les éléments fondamentaux suivants :

  • Les tactiques désignant les objectifs tactiques à court terme de l'adversaire pendant une attaque (les colonnes) ;
  • Les techniques décrivant les moyens par lesquels les adversaires atteignent les objectifs tactiques (les cellules individuelles) ; 
  • L'utilisation documentée des techniques par l'adversaire et d'autres métadonnées (liées aux techniques). 

Que contient la matrice ATT&CK de MITRE ?

La matrice ATT&CK de MITRE contient un ensemble de techniques utilisées par les adversaires pour atteindre un objectif spécifique. Ces objectifs sont classés comme des tactiques dans la matrice ATT&CK. Les objectifs sont présentés de manière linéaire, depuis le point de reconnaissance jusqu'à l'objectif final d'exfiltration ou "impact". Si l'on considère la version la plus large d'ATT&CK pour l'entreprise, qui inclut Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, Network et Containers, les tactiques adverses suivantes sont catégorisées :

  • Reconnaissance : collecte d'informations pour planifier les futures opérations de l'adversaire, c'est-à-dire des informations sur l'organisation cible.
  • Développement des ressources : mise en place de ressources pour soutenir les opérations, c'est-à-dire mise en place d'une infrastructure de commandement et de contrôle.
  • Accès initial : tentative d'entrer dans votre réseau (spear phishing).
  • Exécution : tenter d'exécuter un code malveillant, par exemple en utilisant un outil d'accès à distance.
  • Persistance : tenter de maintenir sa position, par exemple en modifiant les configurations.
  • Escalade de privilèges : tenter d'obtenir des autorisations de niveau supérieur, c'est-à-dire exploiter une vulnérabilité pour obtenir un accès supérieur.
  • Évasion de défense : tenter d'éviter d'être détecté, par exemple en utilisant des processus de confiance pour cacher un logiciel malveillant.
  • Accès aux informations d'identification : vol de noms de comptes et de mots de passe, par exemple, keylogging.
  • Découverte : essayer de comprendre votre environnement, c'est-à-dire explorer ce qu'ils peuvent contrôler.
  • Mouvement latéral : se déplacer dans votre environnement, c'est-à-dire utiliser des informations d'identification légitimes pour passer d'un système à l'autre.
  • Collecte : collecte de données présentant un intérêt pour l'objectif de l'adversaire, par exemple en accédant aux données du stockage dans le cloud.
  • Commandement et contrôle : communication avec des systèmes compromis pour les contrôler, par exemple en imitant le trafic Web normal pour communiquer avec un réseau victime.
  • Exfiltration : voler des données, c'est-à-dire transférer des données vers un compte dans le cloud.
  • Impact : manipuler, interrompre ou détruire des systèmes et des données, c'est-à-dire crypter des données avec un ransomware.

Dans chaque tactique de la matrice ATT&CK de MITRE, il existe des techniques adverses, qui décrivent l'activité réelle menée par l'adversaire. Certaines techniques comportent des sous-techniques qui expliquent comment l'adversaire exécute une technique spécifique de manière plus détaillée. 

Comment utiliser la matrice ATT&CK de MITRE ?

Le cadre ATT&CK de MITRE peut aider une organisation de plusieurs façons. En général, voici les avantages applicables à l'adoption de MITRE ATT&CK :

  • Émulation d'adversaires : Évalue la sécurité en appliquant des renseignements sur un adversaire et son mode de fonctionnement pour émuler une menace. ATT&CK peut être utilisé pour créer des scénarios d'émulation de l'adversaire afin de tester et de vérifier les défenses.
  • Red Teaming : Joue le rôle d'un adversaire pour démontrer l'impact d'une violation. ATT&CK peut être utilisé pour créer des plans d'équipe rouge et organiser les opérations.
  • Développement de l'analyse comportementale : Relie les activités suspectes pour surveiller l'activité des adversaires. ATT&CK peut être utilisé pour simplifier et organiser les modèles d'activités suspectes jugées malveillantes.
  • Évaluation des lacunes défensives : Détermine quelles parties de l'entreprise manquent de défenses et/ou de visibilité. ATT&CK peut être utilisé pour évaluer les outils existants ou tester de nouveaux outils avant de les acheter, afin de déterminer la couverture de sécurité et de prioriser les investissements.
  • Évaluation de la maturité du SOC : Tout comme l'évaluation des lacunes défensives, ATT&CK peut être utilisé pour déterminer l'efficacité d'un centre d'opérations de sécurité (SOC) à détecter, analyser et répondre aux brèches.
  • Enrichissement du renseignement sur les cybermenaces : Enrichit les informations sur les menaces et les acteurs de la menace. ATT&CK permet aux défenseurs d'évaluer s'ils sont capables de se défendre contre des menaces persistantes avancées (ATP) spécifiques et des comportements communs à plusieurs acteurs de la menace.
  • La mise en œuvre de MITRE ATT&CK implique généralement un mappage manuel ou une intégration avec des outils de cybersécurité, dont les plus courants sont la gestion des informations et des événements de sécurité (SIEM), la détection et la réponse aux points de terminaison (EDR) et le Cloud Access Security Broker (CASB).

L'utilisation de MITRE ATT&CK avec un SIEM implique l'agrégation des données de logs provenant des terminaux, des réseaux et des services cloud, l'identification des menaces et leur mise en correspondance avec MITRE ATT&CK. Les changements de posture de sécurité sont ensuite effectués dans les outils de sécurité qui fournissent leurs données de log (c'est-à-dire EDR ou CASB).

Pour conclure, MITRE a apporté une contribution significative à la communauté de la sécurité en fournissant le cadre ATT&CK et ses outils et ressources connexes.  ATT&CK permet de considérer les attaquants sous le prisme du comportement en fournissant un moyen de décrire les nouvelles techniques qu'ils développent et de maintenir les défenseurs au niveau.