Se protéger efficacement des cybermenaces implique de bien connaître et comprendre les techniques utilisées par les attaquants. C’est justement tout l’enjeu du framework MITRE ATT&CK®, une base de connaissances regroupant les différentes techniques d’attaques connues et utilisées lors d’une cyberattaque.
Le framework MITRE ATTA&CK® tient aujourd’hui un rôle central dans le domaine de la cybersécurité, permettant aux équipes de sécurité de mieux connaître les menaces et donc de mieux s’y préparer.
Qu’est-ce que le MITRE ATT&CK® Framework ?
MITRE ATT&CK® Framework : définition
Qualifié de « framework », de « référentiel » ou encore de « matrice », MITRE ATTA&CK® est une base de connaissances regroupant des techniques d’attaques connues. Le framework est alimenté à partir des attaques observées dans le monde réel.
Plus de 200 techniques d’attaques sont répertoriées à ce jour, documentées et accessibles librement sur attack.mitre.org. Cette base de connaissances est gérée par MITRE, une organisation à but non lucratif, et enrichie par une communauté active.
Historique et évolution du cadre MITRE ATT&CK®
L’acronyme ATT&CK® correspond à « Adversarial Tactics, Techniques and Common Knowledge ». La matrice contient le détail des tactiques, techniques et procédures (TTP) utilisées par les adversaires lors d’une attaque informatique. La base de connaissances MITRE ATT&CK® est alimentée depuis 2013 et accessible gratuitement en ligne depuis 2015.
MITRE ATT&CK® portait initialement sur les menaces à l’encontre des systèmes Windows. Il s’est depuis étendu à Linux, macOS, aux environnements mobiles et aux systèmes de contrôles industriels. La base de connaissances est actualisée régulièrement.
Différentes versions sont accessibles en ligne :
- MITRE ATT&CK® For Enterprise (incluant les tactiques et techniques PRE-ATT&CK®)
- MITRE ATT&CK® for Mobile
- MITRE ATT&CK® for ICS (relative aux systèmes de contrôles industriels)
Quels sont les composants de la matrice MITRE ATT&CK® ?
Tactiques répertoriées au sein de la matrice MITRE ATT&CK®
Le framework MITRE ATT&CK® décompose les différentes étapes (appelées « tactiques ») d’une attaque informatique. La matrice « entreprise » du framework MITRE ATT&CK® répertorie à ce jour 14 tactiques / étapes différentes et plus de 200 techniques offensives. Le déroulement d’une attaque informatique y est découpé en 14 étapes, depuis la préparation de l’intrusion au sein du système d’information jusqu’à la réussite de l’attaque et à son impact :
- Reconnaissance
- Développement des ressources
- Accès initial
- Exécution
- Persistance
- Escalade de privilèges
- Évasion
- Accès aux identifiants
- Découverte
- Déplacement latéral
- Collecte
- Commande et contrôle
- Exfiltration
- Impact
Chaque tactique représente un objectif que l’attaquant cherche à atteindre au sein du système d’information (collecter des informations, exfiltrer des données, etc.) et regroupe plusieurs techniques.
Description des techniques utilisées par les groupes malveillants
L’une des forces du framework MITRE ATT&CK® est de décrire et de documenter les techniques et méthodes utilisées par des groupes d’adversaires.
La tactique « Accès initial » comporte par exemple 10 techniques :
- Content Injection
- Drive-by Compromise
- Exploit Public-Facing Application
- External Remote Services
- Hardware Additions
- Phishing
- Replication Through Removable Media
- Supply Chain Compromise
- Trusted Relationshop
- Valid Accounts
Chacune des techniques du framework est détaillée, illustrée par des cas concrets (avec le nom du logiciel malveillant utilisé, par exemple) et accompagnée de mécanismes de détection et de remédiation.
Comment implémenter le framework MITRE ATT&CK® ?
MITRE ATT&CK®, un framework « agnostique »
Le framework MITRE ATT&CK® n’est lié à aucun produit ou solution de sécurité. Il est conçu pour être utilisé avec n’importe quel outil (scan de vulnérabilités, par exemple) ou plateforme de sécurité permettant l’intégration des tactiques et techniques répertoriées. Il soutient et améliore les stratégies de sécurité déjà en place. Certains éditeurs intègrent la matrice à leurs solutions de cybersécurité.
Associé à une cartographie du système d’information, le cadre MITRE ATT&CK® aide les organisations à mieux visualiser les vulnérabilités de leur SI et surtout à en prioriser le traitement au regard des comportements déjà repérés chez les groupes malveillants. Comparer les systèmes de protection de leur SI avec les schémas d’attaque documentés au sein de la matrice aide les équipes de sécurité à identifier les points faibles de leur stratégie de sécurité et à y remédier grâce à des actions proactives.
Le site attack.mitre.org recense de nombreuses ressources gratuites permettant aux organisations de réutiliser librement la base de données en fonction de leurs besoins spécifiques. Des consultants ou fournisseurs de solutions de sécurité peuvent également assister les équipes dans la mise en œuvre de solutions sur mesure.
Des approches différentes en fonction des équipes de sécurité
La matrice MITRE ATT&CK® peut être utilisée selon différents scénarios d’application, en fonction des besoins propres à chaque organisation, et aussi en fonction de la taille et de la structuration des équipes. Utilisé par les équipes SOC pour faire le lien entre la réalité opérationnelle et le RSSI, par les équipes BlueTeam dans le cadre de leurs exercices ou encore par les analystes, le cadre MITRE ATT&CK® simplifie la communication entre les différentes équipes impliquées dans la gestion des risques.
Si les équipes restreintes se concentrent sur la recherche de comportements d’attaques observés chez des groupes d’adversaires, les équipes plus conséquentes pourront mapper davantage d’informations – à la fois internes et externes – en s’appuyant sur le framework.
Comment utiliser MITRE ATT&CK® pour l’analyse de risques, la détection et la prévention des menaces ?
Veille sur les cybermenaces
MITRE ATT&CK® est utilisé dans le cadre de la veille sur les cybermenaces et la Cyber Threat Intelligence. Les équipes de sécurité peuvent s’appuyer sur ce cadre pour développer un modèle de menace décrivant les attaques potentielles auxquelles leur SI est exposé, et identifier les mesures à mettre en place pour s’en protéger.
En permattant de caractériser et d’analyser des groupes d'adversaires et des logiciels malveillants, le framework MITRE ATT&CK® aide à dessiner des profils de menaces. Les analystes parviennent à mieux comprendre les méthodes, les capacités, les motivations et les objectifs des profils d’acteurs de la menace, en se basant sur des exemples concrets et des analyses de leurs activités passées.
Détection et prévention des menaces
D’un point de vue de la détection des menaces, le framework MITRE ATT&CK® aide les organisations à évaluer si leurs capacités de détection s’alignent bien sur les tactiques et techniques identifiées par la matrice. De la même manière, en matière de prévention, il permet de vérifier l’efficacité de mesures préventives destinées à contrer les comportements identifiés chez les groupes malveillants.
Exposition aux menaces et traitement des vulnérabilités
En récupérant des données de sécurité sur un périmètre donné (les CVE, par exemple) et en s’appuyant sur le framework MITRE ATT&CK®, les analystes peuvent parvenir à tracer une « kill chain ». Cette chaîne d’attaque est un chemin d’attaque réaliste qui pourrait potentiellement mener à une cyberattaque. Elle permet de mesurer son exposition à des menaces documentées. En croisant les vulnérabilités du système d’information et son exposition à une base de menaces existante, l’objectif est de vérifier si son système d’information est exposé à des mécanismes d’attaque réels. Relier les vulnérabilités à des chemins d’attaques susceptibles de les exploiter aide à prioriser le traitement des vulnérabilités.
Scénarios et simulations d’attaques
La matrice MITRE ATT&CK® aide les équipes RedTeam à bâtir des scénarios d’attaques réalistes simulant les tactiques et techniques observées à partir de faits réels. Ces équipes peuvent ainsi mieux identifier les faiblesses et les lacunes de leurs dispositifs de sécurité et donc améliorer leurs défenses en conséquence.
Quant aux équipes de réponse à incident, elles peuvent s’appuyer sur le framework pour identifier plus rapidement les tactiques et techniques utilisées par le groupe cybercriminel. En jeu : prioriser les actions de réponse à incident et construire un plan de réponse à incident plus efficace.
Framework MITRE ATT&CK® : les éléments à retenir
Outil de modélisation et d’analyse des menaces, le framwork MITRE ATT&CK® détaille les grandes étapes d’une attaque informatique (tactiques) et les techniques d’attaques utilisées par les acteurs malveillants, en adoptant le point de vue de l’adversaire. Ces informations sont documentées, actualisées et partagées gratuitement.
Les organisations ont tout intérêt à intégrer ce framework dans leurs stratégies et leurs politiques de sécurité afin de garder une longueur d’avance sur les menaces et d’améliorer leur défense. Une mise en œuvre efficace du framework par leurs équipes les aidera à mieux comprendre le mode opératoire des acteurs malveillants. En croisant les techniques des cybercriminels avec leurs propres vulnérabilités, les équipes de sécurité peuvent améliorer et ajuster leurs stratégies de défense face aux menaces avancées.
OverSOC vous aide à gagner en visibilité sur les menaces et à prioriser les vulnérabilités de votre système d’information. Contactez-nous.
