Hacktu Magazine Le magazine de la cybersécurité
Le nombre de violations de données (data breaches) enregistrées au cours de l’année 2021 a battu des records historiques avec des bonds de plus 60% selon les données du Identity Theft Resource Center. De son côté IT Governance note une augmentation de 11 % des incidents de sécurité par rapport à 2020, ce qui représente près de 5 milliards de données compromises. Prévenir les failles de sécurité et anticiper les compromissions de données en adoptant une approche du point de vue de l’attaquant est devenu un enjeux majeur pour les spécialités de la cybersécurité.
C’est l’objectif principal que vise le Framework MITRE ATT&CK qui est une matrice complète de stratégies et de techniques qui sont utilisées par les attaquants à travers les différentes étapes d’une cyberattaque.
ATT&CK est l’abréviation de Adversarial Tactics, Techniques, and Common Knowledge (base de connaissances communes des tactiques et techniques des attaquants). Le cadre est une base de connaissances de différentes techniques de cybersécurité triées selon les scénarios dans lesquels elles sont utilisées et applicables à tous les systèmes d’exploitation (Linux, Windows, Mac, etc.), developpé par MITRE.
MITRE ATT&CK couvre globalement champs d’application, à savoir : Entreprise, Mobile et Systèmes de Contrôle Industriels (ICS).
Composantes clés du framework
- Matrice MITRE ATT&CK
La matrice MITRE ATT&CK® met en relation les tactiques et techniques d’attaques identifiés sur la base d’observations d’environnement en production. C’est une feuille de route qui contient des informations pour les plates-formes Windows, macOS, Linux, PRE, Azure AD, Office 365, Google Workspace, SaaS, IaaS, réseau, conteneurs.
- Tactiques MITRE ATT&CK ?
Les tactiques représentent le « pourquoi » d’une technique ou sous-technique ATT&CK. C’est le but tactique de l’attaquant : la raison d’accomplir une action. Par exemple, un adversaire peut souhaiter obtenir un accès aux informations d’identification. La version v10 du framework documente 14 tactiques.
- Reconnaissance: l’attaquant essaie de rassembler des informations qu’il pourra utiliser pour planifier de futures opérations ;
- Développement des ressources: l’attaquant essaie d’établir des ressources qu’il peut utiliser pour soutenir les opérations ;
- Accès initial: l’attaquant essaie d’accéder à votre réseau ;
- Exécution : l’attaquant tente d’exécuter un code malveillant.
- Persistance : l’attaquant essaie de maintenir son accès ;
- Elévation des privilèges L’attaquant tente d’obtenir des autorisations de niveau supérieur ;
- Défense Évasion L’attaquant essaie d’éviter d’être détecté ;
- Accès aux informations d’identification : l’attaquant tente de voler les noms d’utilisateurs et les mots de passe ;
- Découverte : l’attaquant essaie de comprendre votre environnement ;
- Mouvement latéral : l’attaquant essaie de se déplacer dans votre environnement ;
- Collecte : l’attaquant essaie de collecter des données d’intérêt pour son objectif ;
- Commandement et contrôle (C2): l’attaquant essaie de communiquer avec des systèmes compromis pour les contrôler ;
- Exfiltration : l’attaquant tente de voler des données ;
- Impact
- Techniques MITRE ATT&CK
Les techniques décrivent le « comment » un adversaire atteint un objectif tactique en effectuant une action. Par exemple, un adversaire peut voler les informations d’identification pour obtenir un accès aux informations d’identification. La version v10 du framework documente 188 techniques et 379 sous-techniques pour le champs entreprises et 92 techniques pour le champs mobile.
- Mesures de mitigation MITRE ATT&CK
Les mesures mitigation représentent des concepts de sécurité et technologies qui peuvent être utilisées pour empêcher l’exécution réussie d’une technique ou d’une sous-technique.
La version v10 du framework documente 43 mesures de mitigation pour le champs entreprises et 13 pour le champs mobile.
Par ailleurs document également les groupes APT et leurs faits d’armes, ainsi que les techniques, tactiques et procédures identiés. Ces informations peuvent s’avérer très utiles pour les équipes de défenses, threat hunting et SOC en général.
A quoi peut servir MITRE ATT&CK ?
- RED TEAM
Le cadre ATT&CK a normalisé la terminologie qui peut être utilisée par les équipes rouges pour communiquer facilement entre elles, même s’il s’agit d’une grande organisation. Le cadre permet aux experts des red teams d’exécuter des scénarios d’attaque du monde réel en utilisant ATT&CK comme guide, rendant non seulement la formation et les opérations plus efficaces qu’elles ne l’auraient été auparavant.
- BLUE TEAM
Les blues team ont pour vocation de défendre les systèmes contre les attaques qui sont effectuées par les red teams, dans le cadre du renforcement des mesures de sécurité du système d’information d’une organisation.
MITRE ATT&CK fournit des conseils de manière concise et complète. De cette façon, les blue team comprennent en profondeur le type de mesures d’atténuation qui doivent être mises en place sur un réseau dans différents scénarios.
- ÉVALUATION DE PRODUITS
MITRE ATT&CK permet aux organisations de tester tous les produits de cybersécurité de manière structurée et méthodique et déterminer si le produit de sécurité remplit ou non les exigences et objectifs assignés. Il peut également être utlisé pour comparer des produits de sécurité du point de vue du raport fonctionnalités, qualité, prix.
- SIMULATION D’ATTAQUES
MITRE ATT&CK aide les organisations à déterminer quels outils de test ou de simulation d’attaque sont les mieux adaptés en fonction du contexte et des objectifs de sécurité de l’entreprise.
- AMÉLIORER LA SECURITE
Le framework permet aux experts de la sécurité défensive d’approfondir leurs connaissance de l’état d’esprit des attaquants. Cela contribue à améliorer les capacités de défense, car ils disposent d’une cartographie des techniques et les méthodes que l’attaquant utilisera éventuellement dans l’exécution de ces attaques, ainsique les mesures de mitigation associées.
