MITRE-ATT&CK Vue d’ensemble du cadre de travail

Rversion finale: Washingtondc

Mis à jour 1 févr. 2024

3 minutes de lecture

Le MITRE-ATT&CK cadre de travail est une base de connaissances des tactiques, des techniques et des procédures courantes (TTP) auxquelles votre organisation peut accéder pour développer des modèles de menaces et des méthodologies spécifiques contre les cyberattaques.

Vue d'ensemble

Le MITRE cadre de travail ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) documente et suit les différentes techniques des adversaires qui sont utilisées au cours des différentes étapes d’une cyberattaque.

En utilisant la base de connaissances du cadre de travail, la communauté des renseignements sur les MITRE-ATT&CK cybermenaces peut rapidement identifier les menaces et coordonner les réponses aux cyberattaques.

MITRE-ATT&CK et Security Operations

Consultez le diagramme suivant pour découvrir comment les informations circulent avec Security Operations les MITRE-ATT&CK applications.

Comment MITRE ATT&CK fonctionne avec les applications Security Operations.

Le champ préchargé TAXII client se connecte au TAXII serveur pour ingérer les collections de données vers Renseignements sur les menaces.
Les intégrations SIEM (Security Information and Event Manager) existantes ingèrent leurs données de menace (alertes et événements) avec des TTP pertinents et sont associées aux incidents de sécurité.
Lorsqu’un IoC est associé à un incident de sécurité, Renseignements sur les menaces recherche automatiquement des informations pertinentes dans les flux de menaces et envoie les IoC à des sources tierces telles que EDR, Sandbox ou TIP pour une analyse supplémentaire.
Si une source tierce contient l’information MITRE-ATT&CK , alors Renseignements sur les menaces Extrait les informations sur la technique et enrichit les données du référentiel à des fins de Renseignements sur les menaces corrélation et d’analyse.
MITRE-ATT&CK partage également des informations de contexte CVE pour chaque technique. Votre équipe de sécurité peut examiner les techniques exploitées pour Vulnerability Response déterminer si vos actifs critiques sont menacés.

MITRE-ATT&CK matrices, tactiques et techniques

Le cœur du MITRE-ATT&CK cadre est une matrice de tactiques et de techniques de l’adversaire. L’ordre des tactiques représente ce qu’un adversaire tente d’accomplir au stade d’un incident. Lorsque votre équipe de sécurité comprend cette séquence, vous avez la possibilité d’anticiper le prochain mouvement d’un adversaire et de briser la chaîne de destruction. ATT&CK se compose des matrices suivantes :

ATT&CK d’entreprise : décrit les comportements et les actions qu’un adversaire adopte pour compromettre et opérer dans un réseau d’entreprise et dans le cloud.
Remarque :
La matrice pré-ATT&CK a été déconseillée par MITRE la matrice Entreprise et a été fusionnée avec elle.
ICS ATT&CK : décrit les actions qu’un adversaire effectue lorsqu’il opère au sein d’un réseau de systèmes de contrôle industriel (ICS).
Mobile ATT&CK : décrit les comportements et actions des adversaires qui se concentrent sur les équipements mobiles.

La tactique représente le pourquoi d’une technique ATT&CK. C’est l’objectif tactique de l’adversaire pour effectuer une action.

Les techniques représentent la façon dont un adversaire atteint un objectif tactique en effectuant une action.

Les techniques peuvent être associées à plus d’une tactique. Par exemple, la manipulation des jetons d’accès est utilisée par un adversaire pour utiliser la tactique d’élévation de privilèges ou d’évasion de défense.

Utilisation d’une approche basée sur l’intention pour les réponses aux incidents

Une réponse basée sur l’intention utilise un cadre de kill chain dynamique et contextuel qui peut aider votre organisation à corréler les incidents de sécurité et à identifier un large éventail d’attaques. Votre équipe de sécurité peut utiliser une réponse basée sur l’intention pour comprendre comment l’organisation est attaquée et ce que l’attaquant pourrait faire ensuite. Ce type de réponse vous permet de prédire le comportement d’un attaquant afin de concentrer efficacement vos ressources.

Grâce Réponse aux incidents de sécuritéà , votre équipe de sécurité peut gérer le cycle de vie de chaque incident de sécurité, de l’analyse à l’endiguement, en se concentrant sur les indicateurs de compromission (IOC) tels que les adresses IP, les hachages de fichiers et les domaines.

En s’intégrant Réponse aux incidents de sécurité au cadre de travail, les MITRE-ATT&CK incidents de sécurité sont traités comme des liens dans une attaque à l’échelle de l’entreprise plus vaste.

Comment votre organisation peut-elle bénéficier de MITRE-ATT&CK Security Operations ?

Avantages de l’utilisation de MITRE ATT&CK

L’utilisation du MITRE-ATT&CK cadre de travail peut aider votre organisation à effectuer les opérations suivantes :

Fournissez aux analystes MITRE-ATT&CK de sécurité des tactiques, des techniques et des procédures (TTP) pour mieux analyser les incidents de sécurité et y répondre.
Automatisez les workflows d’incident à l’aide du playbook pour détecter et contenir les menaces dans le MITRE-ATT&CK contexte du cadre de travail.
Hiérarchisez les indicateurs de compromission et de chasse aux menaces avec MITRE-ATT&CK des informations.
Comprenez la posture de sécurité de haut niveau de votre organisation dans le MITRE-ATT&CK contexte du cadre de travail.