ATT&CK détaille le comportement et la taxonomie des actions hostiles dans les cycles de vie des menaces, améliorant ainsi les informations sur les menaces et les opérations/l’architecture de sécurité.
L’infrastructure ATT&CK comprend deux parties : ATT&CK for Enterprise, qui est une base de connaissances détaillée traitant des comportements nuisibles aux réseaux informatiques et infonuagiques des entreprises, et ATT&CK for Mobile, qui se concentre sur les comportements nuisibles aux appareils mobiles.
MITRE a créé l’infrastructure ATT&CK en 2013 afin de documenter les tactiques, techniques et procédures (TTP) courantes qui font partie des menaces persistantes avancées (APT) contre les organisations. Elle a gagné en popularité et en soutien de la part de l’industrie en tant que moyen de créer une taxonomie et un modèle relationnel communs pour les défenseurs et les chercheurs qui s’efforcent de comprendre les activités d’attaque et les comportements adversaires en constante évolution et de s’en défendre.
L’infrastructure aborde quatre principaux problèmes :
Les indicateurs habituels comme les adresses IP, les domaines, les clés de registre, les hachages de fichiers, etc. peuvent être rapidement modifiés par les pirates et ne sont utiles que pendant la détection. Ils ne sont pas représentatifs de la manière dont les pirates interagissent avec différents systèmes; ils indiquent seulement qu’il y a eu une interaction avec un système à un moment donné. La détection de comportements adversaires potentiels permet de concentrer les enquêtes sur des tactiques et des techniques moins éphémères ou moins fiables.
Les concepts de cycles de vie des adversaires et de chaîne cybercriminelle sont un peu trop généraux pour établir un lien entre les comportements et les défenses. Ce niveau d’abstraction particulier s’est révélé inutile pour mapper les TTP à quelconque nouveau type de capteur.
Il est important de baser les TTP sur des incidents et des campagnes observés afin de démontrer l’applicabilité du travail.
Les TTP doivent être comparables entre différents types de groupes d’adversaires en utilisant la même terminologie.
L’infrastructure ATT&CK agit comme une autorité sur les comportements et les techniques que les pirates informatiques utilisent contre les entreprises. Elle élimine toute ambiguïté et définit un vocabulaire centralisé pour les professionnels du secteur. Elle leur permet de discuter et de collaborer sur la manière de lutter contre les pirates et d’appliquer des mesures de sécurité pratiques.
ATT&CK apporte une rigueur et des détails qui vont au-delà des techniques d’informations sur les menaces et des outils utiles dans le cadre d’attaques opportunistes et moins ciblées. L’échelle de la cyberdouleur explique comment cette infrastructure complète d’autres indicateurs courants aujourd’hui.
« L’échelle de la cyberdouleur » est une représentation des types d’indicateurs de compromis (IoC). Elle mesure l’utilité potentielle des informations sur les menaces et met l’accent sur la réponse à un incident de sécurité et la recherche des menaces.
Une valeur de hachage est générée par des algorithmes comme MD5 et SHA et représente un fichier malveillant particulier. Les hachages fournissent des références propres aux logiciels malveillants et aux fichiers suspects utilisés par les pirates pour l’intrusion.
Les adresses IP sont l’un des principaux indicateurs d’une source d’attaque malveillante, mais il est possible d’adopter une adresse IP en utilisant un service mandataire et de la modifier fréquemment.
Un nom de domaine ou même un type de sous-domaine peut être enregistré, payé et hébergé. Cependant, de nombreux fournisseurs de services DNS ont des normes d’enregistrement suffisamment souples.
Les artefacts réseau sont des éléments d’activité qui permettent d’identifier un utilisateur malveillant et de le distinguer d’un utilisateur légitime. Il peut s’agir, par exemple, d’un motif URI ou d’informations C2 intégrées dans les protocoles réseau.
Les artefacts hôtes sont des éléments observables résultant d’une activité indésirable sur un hôte, qui permettent de repérer les activités malveillantes et de les distinguer des activités légitimes. Ces identifiants comprennent les clés ou valeurs de registre connues pour avoir été créées par des logiciels malveillants, ou les fichiers/répertoires déposés dans certaines zones.
Les outils sont généralement des types de logiciels qu’un pirate utilisera contre vous. Il peut également s’agir d’une série d’outils fournis par le logiciel pour interagir avec le code ou le logiciel existant. Les outils sont notamment des utilitaires qui créent des documents malveillants pour le harponnage, des portes dérobées qui établissent des informations C2, des perceurs de mots de passe ou d’autres utilitaires compromettants.
Les tactiques, techniques et procédures sont au sommet de la pyramide. Il s’agit de l’ensemble du processus par lequel un pirate accomplit sa mission, depuis la phase de recherche initiale jusqu’à l’exfiltration des données, en passant par toutes les étapes intermédiaires.
La matrice ATT&CK est une visualisation de la relation entre les tactiques et les techniques. Les tactiques représentent une idée générale expliquant pourquoi un pirate effectue une action, tandis que les techniques sont les actions qu’il entreprend pour soutenir cette tactique.
L’infrastructure Enterprise ATT&CK comprend 14 tactiques qui constituent la partie « pourquoi » de l’équation. Les tactiques sont classées comme suit :
- Reconnaissance
- Développement des ressources
- Accès initial
- Exécution
- Persistance
- Escalade des privilèges
- Évasion de la défense
- Accès aux authentifiants
- Détection
- Mouvement latéral
- Collecte
- Commande et contrôle
- Exfiltration
Chaque tactique comprend une série de techniques utilisées par les logiciels malveillants ou les groupes de menaces pour compromettre une cible et atteindre leurs objectifs. L’infrastructure ATT&CK comprend onze tactiques, mais il existe environ 300 techniques à connaître.
Chacune des techniques de la base de connaissances contient des informations contextuelles, telles que les autorisations requises, la plateforme sur laquelle la technique est couramment utilisée et la manière de détecter les commandes et les processus où elles sont utilisées.
Les défenses sont éclairées par les menaces. Les techniques sont également classées par ordre de priorité en fonction des traits communs aux groupes et d’une analyse des lacunes des défenses actuelles par rapport aux menaces courantes.
Collaboration avec l’équipe Violette, sources de données, tests, analyses personnalisées et prêtes à l’emploi.
Communications avec l’équipe Bleue, comportements variés de l’équipe Rouge, émulation de l’adversaire basée sur le renseignement sur les cybermenaces et tests de techniques atomiques.
Évaluer les lacunes de couverture en fonction de l’utilisation réelle et hiérarchiser les mesures d’atténuation et les investissements, tels que les techniques uniques, les mesures d’atténuation et la fidélité entre plusieurs techniques.
Un aspect important d’ATT&CK réside dans la manière dont elle intègre les informations sur les cybermenaces (CTI). ATT&CK documente le comportement des pirates à partir de rapports accessibles au public afin d’indiquer quels groupes utilisent quelles techniques. Il est courant que des rapports individuels documentent un incident ou un seul groupe, mais ATT&CK se concentre davantage sur un type d’activité et de technique, puis associe les pirates et les groupes à l’activité, ce qui aide les techniciens à se concentrer sur les techniques les plus utilisées.
Dans le monde numérique actuel, la capacité de votre organisation à se préparer à un incident de sécurité, à le repérer, à le minimiser et à s’en remettre joue un rôle clé dans votre réussite. À ce titre, Réponse aux incidents de sécurité complétée par MITRE ATT&CK peut vous aider à garantir que votre entreprise est préparée, en lui donnant accès à des ressources pour développer des modèles avancés de menaces et des méthodologies de lutte contre les cyberattaques.
En travaillant dans l’infrastructure de MITRE ATT&CK, vos équipes de sécurité peuvent améliorer leur analyse et leur réponse aux incidents lorsqu’ils se produisent. Elles peuvent repérer avec précision les indicateurs de compromis et hiérarchiser les menaces particulières. Elles peuvent améliorer les flux de travail automatisés en utilisant des tactiques essentielles et d’autres ressources tirées des stratégies ATT&CK.