Qu'est-ce que le cadre ATT&CK de MITRE ?
MITRE est une organisation à but non lucratif soutenue par le gouvernement qui mène des recherches sur la cybersécurité financées par le gouvernement fédéral afin de soutenir la sécurité informatique défensive dans tous les secteurs, y compris les agences gouvernementales et les entreprises de défense.
MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances libre et ouverte d'informations sur la cybersécurité publiée pour la première fois en 2018. ATT&CK est conçue pour aider les analystes en cybersécurité et d'autres personnes à obtenir des informations sur les cybermenaces (CTI) pour planifier et concevoir des programmes de cyberdéfense et faciliter la communication en fournissant un vocabulaire de référence commun.
Matrice ATT&CK de MITRE
Le cadre ATT&CK de MITRE est divisé en trois variantes principales, chacune contenant un sous-ensemble de TTP s'appliquant à des environnements informatiques cibles spécifiques. Chaque variante est appelée "matrice".
Les trois principales matrices du cadre ATT&CK sont la matrice d'entreprise, la matrice mobile et la matrice ICS (Industrial Control System). Les matrices "entreprise" et "mobile" sont subdivisées en sous-matrices filtrées pour ne contenir que les tactiques, techniques et procédures (TTP) pertinentes pour chaque environnement.
Matrice ATT&CK de l'entreprise
Matrice ATT&CK mobile
Systèmes de contrôle industriel (ICS) Matrice ATT&CK
ATT&CK Tactiques, techniques et procédures
Tactiques ATT&CK
- Reconnaissance (entreprise, ICS)
- Développement des ressources (entreprises, SCI)
- Accès initial
- Exécution
- Persistance
- L'escalade des privilèges
- Défense Evasion
- Accès aux justificatifs (entreprise, mobile)
- Découverte
- Mouvement latéral
- Collection
- Commandement et contrôle
- Exfiltration (entreprise, mobile)
- Impact
- Effets de réseau (mobile uniquement)
- Effets des services de réseau (mobiles uniquement)
- Inhiber la fonction de réponse (ICS uniquement)
- Perturbation du contrôle des processus (ICS uniquement)
La Cyber Kill Chain® est un cadre de cyberattaque publié en 2011 par Lockheed Martin. Comme MITRE ATT&CK, le Cyber Kill Chain classe tous les comportements de cyberattaque en tactiques séquentielles.
7 étapes de la chaîne de la mort cybernétique
- Reconnaissance
- Armement
- Livraison
- Exploitation
- Installation
- Commandement et contrôle
- Actions sur les objectifs
La chaîne de la mort cybernétique est fondamentalement différente du cadre ATT&CK de MITRE en ce sens qu'elle affirme que toutes les cyberattaques doivent suivre une séquence spécifique de tactiques pour réussir, ce qui n'est pas le cas du cadre ATT&CK de MITRE. Une autre différence entre les deux cadres est que le Cyber Kill Chain est essentiellement une séquence d'étapes qui constituent une cyberattaque combinée à un axiome général de sécurité défensive selon lequel "briser" n'importe quelle phase du "kill chain" empêchera un attaquant d'atteindre son objectif, et offrira donc une protection au défenseur.
MITRE ATT&CK est bien plus qu'une séquence de tactiques d'attaque. Il s'agit d'une base de connaissances approfondie qui met en corrélation des informations de cybersécurité spécifiques à l'environnement selon une hiérarchie de tactiques, de techniques, de procédures et d'autres connaissances communes, telles que l'attribution à des groupes adverses spécifiques.
Comment utiliser le cadre ATT&CK de MITRE
Cas d'utilisation de MITRE ATT&CK
Les chasseurs de menaces, les membres des équipes rouges et les défenseurs utilisent ATT&CK pour obtenir des informations sur les cyberattaques et un système de classification standard qui peut être utilisé comme référence pour la communication entre les parties prenantes lors de l'élaboration des programmes de cybersécurité de l'entreprise.
Parce qu'il s'agit d'une base de connaissances complète sur les cyberattaques, ATT&CK peut servir de liste de contrôle des objectifs et des méthodes d'attaque. Vous pouvez utiliser cette liste pour justifier la mise en œuvre de contrôles de sécurité, en veillant à ce qu'ils soient complets et offrent un certain degré de protection contre tous les éléments qui composent les cyberattaques réelles.
L'ATT&CK peut également être utilisé par les testeurs de pénétration, les équipes rouges et les testeurs de produits de sécurité pour simuler des cyberattaques réalistes. L'ATT&CK permet aux adversaires simulés de comprendre le paysage des attaques et d'appliquer les mêmes tactiques et techniques que les attaquants réels.
FAQ
Que signifie MITRE ATT&CK ?
ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge (tactiques, techniques et connaissances communes adverses).
Qu'est-ce que le cadre ATT&CK de MITRE ?
MITRE ATT&CK est une base de connaissances libre et ouverte de stratégies de cyberattaques et d'informations connexes, conçue pour aider les analystes en cybersécurité et les autres parties prenantes à obtenir des informations sur les cybermenaces (CTI) et à faciliter la communication en matière de cybersécurité offensive et défensive.
Qu'est-ce que la matrice ATT&CK de MITRE ?
La matrice ATT&CK de MITRE est un cadre hiérarchique de tactiques et de techniques d'attaque qui comprend les objectifs et les stratégies individuels des cybercriminels. Il existe trois matrices ATT&CK principales, chacune s'appliquant à des environnements distincts : Entreprise, Mobile et Systèmes de contrôle industriel.
BlackBerryLa suite de solutions de cybersécurité Cylance de MITRE ATT&CK a réussi à 100 % à prévenir les émulations d'attaques Wizard Spider et Sandworm très tôt dans l'évaluation 2022 de MITRE ATT&CK, avant qu'aucun dommage ne se produise.
BlackBerry's CylancePROTECT® et CylanceOPTICS® ont permis de détecter avec une grande certitude des techniques d'attaque individuelles, ce qui a contribué à réduire le gaspillage des ressources consacrées à la recherche de faux positifs.