Le framework MITRE ATT&CK (MITRE ATT&CK) est une base de connaissances universellement accessible et continuellement mise à jour servant à modéliser, détecter, anticiper et lutter contre les menaces de cybersécurité basées sur les comportements adverses connus des cybercriminels. (L’abréviation ATT&CK dans MITRE ATT&CK signifie Adversarial Tactics, Techniques & Common Knowledge.)
MITRE ATT&CK répertorie les tactiques, techniques et procédures (TTP) cybercriminelles à chaque phase du cycle de vie de la cyberattaque, depuis les comportements initiaux de collecte d’informations et de planification d’un pirate jusqu’à l’exécution finale de l’attaque. Les informations contenues dans MITRE ATT&CK peuvent aider les équipes de sécurité à :
simuler avec précision des cyberattaques pour tester les cyberdéfenses ;
créer des politiques de sécurité, des contrôles de sécurité et des plans de réponse aux incidents plus efficaces ;
choisir et configurer les technologies de sécurité pour mieux détecter, éviter et atténuer les cybermenaces.
En outre, la taxonomie MITRE ATT&CK des tactiques, techniques et sous-techniques adverses (voir ci-dessous) établit un langage commun que les professionnels de la sécurité peuvent utiliser pour partager des informations sur les cybermenaces et collaborer à la prévention des menaces.
MITRE ATT&CK n’est pas tout à fait un logiciel. Cependant, de nombreuses solutions logicielles de sécurité d’entreprise, telles que l’analyse du comportement des utilisateurs et des entités (UEBA), la détection et la réponse étendues (XDR), l’orchestration, l’automatisation et la réponse aux incidents de sécurité (SOAR) et la gestion des informations et des événements de sécurité (SIEM), peuvent intégrer les informations sur les menaces de MITRE ATT&CK pour mettre à jour et améliorer leurs capacités de détection et de réponse aux menaces.
Développé par MITRE Corporation, une organisation à but non lucratif, le framework MITRE ATT&CK est entretenu par MITRE avec l’aide d’une communauté mondiale de professionnels de la cybersécurité.
MITRE ATT&CK organise les tactiques et techniques (et les sous-techniques) adverses en matrices. Chaque matrice comprend des tactiques et des techniques correspondant aux attaques sur des domaines spécifiques :
La matrice Enterprise Matrix comprend toutes les techniques adverses utilisées dans les attaques contre les infrastructures d’entreprise. Cette matrice comprend des sous-matrices pour les plateformes Windows, MacOS et Linux, ainsi que l’infrastructure réseau, les plateformes cloud et les technologies de conteneur. Elle comprend également une matrice PRE des techniques préparatoires utilisées avant une attaque.
La matrice Mobile Matrix comprend des techniques utilisées lors d’attaques directes sur les appareils mobiles et d’attaques mobiles basées sur le réseau qui ne nécessitent pas d’accès à un appareil mobile. Cette matrice comprend des sous-matrices pour les plateformes mobiles iOS et Android.
La matrice ICS comprend les techniques utilisées dans les attaques contre les systèmes de contrôle industriels, en particulier les machines, les dispositifs, les capteurs et les réseaux utilisés pour contrôler ou automatiser les opérations des usines, des services publics, des systèmes de transport et d’autres fournisseurs de services critiques.
Chaque tactique MITRE ATT&CK représente un objectif d’adversaire spécifique que l’attaquant veut accomplir à un moment donné. Les tactiques ATT&CK correspondent de près aux étapes ou phases d’une cyberattaque. Par exemple, les tactiques ATT&CK couvertes par la matrice Enterprise Matrix incluent :
la reconnaissance : collecte d’informations pour planifier une attaque ;
le développement des ressources : mise en place de ressources pour soutenir les opérations d’attaque ;
l’accès initial : pénétration du système ou du réseau cible ;
l’exécution : exécution de logiciels malveillants ou de code malveillant dans le système compromis ;
la persistance : maintien de l’accès au système compromis (en cas d’arrêt ou de reconfiguration) ;
l’escalade de privilèges : obtention d’un accès ou d’autorisations de niveau supérieur (par exemple, passage du statut d’utilisateur à celui d’administrateur) ;
l’évasion de la défense : évitement des systèmes de détection une fois à l’intérieur d’un système ;
l’accès aux identifiants : vol des noms d’utilisateur, des mots de passe et autres identifiants de connexion ;
la découverte : recherches dans l’environnement cible pour savoir quelles ressources sont accessibles ou contrôlables à l’occasion d’une attaque planifiée ;
le mouvement latéral : accès à des ressources supplémentaires au sein du système ;
la collecte : collecte des données liées à l’objectif d’attaque (par exemple, les données à chiffrer et/ou à exfiltrer dans le cadre d’une attaque par ransomware) ;
la commande et la prise de contrôle : établissement de communications secrètes/indétectables permettant à l’attaquant de contrôler le système ;
l’exfiltration : vol des données du système ;
l’mpact : interruption, corruption, désactivation ou destruction des données ou des processus métier.
Là encore, les tactiques et les techniques varient d’une matrice à l’autre (et d’une sous-matrice à l’autre). Par exemple, la matrice Mobile Matrix n’inclut pas les tactiques de reconnaissance et de développement des ressources, mais comprend d’autres tactiques comme Effets du réseau et Effets du service distant que l’on ne trouve pas dans la matrice Enterprise Matrix.
Si les tactiques MITRE ATT&CK représentent ce que les pirates veulent accomplir, les techniques MITRE ATT&CK représentent la façon dont ils tentent de l’accomplir. Par exemple, les compromissions par téléchargement drive-by et le harponnage sont des types de techniques d’accès initial. L’utilisation d’un stockage sans fichier est un exemple de technique d’évasion de défense.
La base de connaissances fournit les informations suivantes pour chaque technique :
une description et un aperçu de la technique ;
toute sous-technique connue associée à la technique, par exemple, les sous-techniques de l’hameçonnage incluent le harponnage par pièce jointe, le harponnage par lien et le harponnage via un service. À l’heure actuelle, MITRE ATT&CK a documenté 196 techniques individuelles et 411 sous-techniques ;
des exemples de procédures connexes, notamment la manière dont les groupes d’attaquants utilisent la technique ou les types de logiciels malveillants utilisés pour exécuter la technique ;
les atténuations : pratiques de sécurité (par exemple, formation des utilisateurs) ou logiciels (par exemple antivirus, systèmes de prévention des intrusions) qui peuvent bloquer la technique ou y remédier ;
les méthodes de détection, généralement des données de journal ou de sources de données système que les équipes ou les logiciels de sécurité peuvent surveiller à la recherche de preuves de la technique.
MITRE ATT&CK offre plusieurs autres moyens de consulter et d’utiliser la base de connaissances. Au lieu de rechercher des tactiques et des techniques spécifiques via les matrices, les utilisateurs peuvent effectuer des recherches basées sur différents critères :
sources de données : index de toutes les données de journal ou des sources de données du système et des composants de données que les équipes ou les logiciels de sécurité peuvent surveiller pour trouver des preuves de tentatives de techniques d’attaque ;
atténuations : index de toutes les atténuations référencées dans la base de connaissances. Les utilisateurs peuvent approfondir leurs recherches pour savoir quelles techniques sont visées par telle ou telle atténuation ;
groupes : index des groupes d’adversaires et des tactiques et techniques d’attaque qu’ils utilisent. À ce stade, MITRE ATT&CK a documenté 138 groupes ;
logiciels : index des logiciels ou services malveillants (740 au moment de la rédaction de cet article) que les attaquants peuvent utiliser pour exécuter des techniques particulières ;
campagnes : essentiellement une base de données de cyberattaques ou de campagnes de cyberespionnage, y compris des informations sur les groupes qui les ont lancées et sur les techniques et logiciels utilisés.
MITRE ATT&CK Navigator est un outil open source qui permet de rechercher, filtrer, annoter et présenter les données de la base de connaissances. Les équipes de sécurité peuvent s’en servir pour identifier et comparer rapidement les tactiques et techniques utilisées par des groupes de menaces particuliers, identifier les logiciels utilisés pour exécuter une technique spécifique, faire correspondre des atténuations à des techniques spécifiques, etc.
MITRE ATT&CK Navigator permet d’exporter les résultats au format graphique JSON, Excel ou SVG (pour les présentations). Les équipes de sécurité peuvent l’utiliser en ligne (hébergé sur GitHub) ou le télécharger sur un ordinateur local.
MITRE ATT&CK prend en charge un certain nombre d’activités et de technologies utilisées par les organisations pour optimiser leurs opérations de sécurité et améliorer leur posture de sécurité globale.
Triage des alertes ; détection des menaces et réponse. Les informations contenues dans MITRE ATT&CK sont extrêmement précieuses pour passer en revue et hiérarchiser l’avalanche d’alertes liées à la sécurité générées par les logiciels et les appareils d’un réseau entreprise typique. En effet, de nombreuses solutions de sécurité d’entreprise, telles que SIEM, UEBA, EDR (détection et réponse des terminaux) et XDR (détection et réponse étendues), peuvent ingérer les informations de MITRE ATT&CK et les utiliser pour trier les alertes, enrichir les renseignements sur les cybermenaces provenant d’autres sources et déclencher des protocoles de réponse aux incidents ou des réponses automatisées aux menaces.
Recherche de menaces. La recherche de menaces est un exercice de sécurité proactive dans lequel les analystes de sécurité recherchent des menaces qui ont échappé aux mesures de cybersécurité existantes. Les informations de MITRE ATT&CK sur les tactiques, les techniques et les procédures adverses fournissent des centaines de pistes pour commencer ou poursuivre les recherches de menaces.
Équipe rouge / émulation d’adversaire. Les équipes de sécurité peuvent utiliser les informations dans MITRE ATT&CK pour simuler des cyberattaques réelles. Ces simulations permettent de tester l’efficacité des politiques, pratiques et solutions de sécurité mises en place, et d’aider à identifier les vulnérabilités à corriger.
Analyse des failles de sécurité et évaluations de la maturité SOC. L’analyse des failles de sécurité sert à comparer les pratiques et technologies de cybersécurité existantes d’une entreprise aux normes en vigueur dans le secteur. Une évaluation de la maturité SOC évalue quant à elle la maturité du centre des opérations de sécurité (SOC, Security Operations Center) d’une organisation en fonction de sa capacité à bloquer ou atténuer systématiquement les cybermenaces ou les cyberattaques avec une intervention manuelle minimale ou nulle. Dans chaque cas, les données MITRE ATT&CK peuvent aider les organisations à effectuer ces évaluations en utilisant les dernières données sur les tactiques, les techniques et les atténuations des cybermenaces.
À l’instar de MITRE ATT&CK, Cyber Kill Chain, solution développée par Lockheed Martin, modélise les cyberattaques en tant que série de tactiques d’adversaire. Certaines tactiques ont même des noms identiques. Mais la ressemblance s’arrête là.
Cyber Kill Chain est davantage un cadre descriptif qu’une base de connaissances. Il est beaucoup moins détaillé que MITRE ATT&CK. Il ne couvre que sept (7) tactiques : reconnaissance, armement, livraison, exploitation, installation, commandement et contrôle, actions sur les objectifs, contre 18 pour MITRE ATT&CK (y compris les tactiques propres aux mobiles et ICS). Cyber Kill Chain ne fournit pas de modèles discrets pour les attaques sur les plateformes mobiles ou ICS et ne catalogue rien qui se rapproche du niveau d’informations détaillées sur les tactiques, les techniques et les procédures fourni par MITRE ATT&CK.
Autre distinction importante : Cyber Kill Chain repose sur l’hypothèse que toute cyberattaque doit déployer des tactiques adverses dans l’ordre pour réussir, et que le blocage de l’une de ces tactiques brisera la chaîne de frappe, empêchant ainsi l’adversaire d’atteindre son objectif final. MITRE ATT&CK n’adopte pas cette approche ; il vise à aider les professionnels de la sécurité à identifier et à bloquer ou à atténuer toute tactique ou technique adverse, quel que soit le contexte dans lequel elle est rencontrée.
Déjouez les cyberattaques grâce à une Suite sécurité connectée et modernisée Le portefeuille QRadar est intégré à l’IA de niveau entreprise et propose des produits intégrés pour la sécurité des terminaux, la gestion des logs, les SIEM et SOARPES avec une interface utilisateur commune, des informations partagées et des workflows connectés.
La recherche proactive des menaces, la surveillance continue et l’examen approfondi des menaces ne sont que quelques-unes des priorités auxquelles doit faire face un service informatique déjà très occupé. Le fait de disposer d’une équipe de réponse aux incidents de confiance peut réduire votre temps de réponse, minimiser l’impact d’une cyberattaque et vous aider à vous rétablir plus rapidement.
Pour prévenir et combattre les menaces liées aux ransomwares modernes, IBM s’appuie sur des informations tirées de 800 TeraBytes de données sur l’activité des menaces, sur l’analyse de 17 millions de spams et d’attaques de phishing et sur les données de réputation de près d’un million d’adresses IP malveillantes provenant d’un réseau de 270 millions de points d.
Les cyberattaques sont des tentatives indésirables de vol, d’exposition, de modification, de désactivation ou de destruction d’informations par le biais d’un accès non autorisé aux systèmes informatiques.
La gestion des informations et des événements de sécurité (SIEM) offre une surveillance et une analyse en temps réel des événements, ainsi qu’un suivi et une journalisation des données de sécurité à des fins de conformité ou d’audit.
La recherche de menaces est une approche proactive permettant d’identifier les menaces inconnues ou permanentes non corrigées au sein du réseau d’une organisation.