Cadre ATT&CK de MITRE

Qu'est-ce que le cadre ATT&CK de MITRE ?

MITRE est une organisation à but non lucratif soutenue par le gouvernement qui mène des recherches sur la cybersécurité financées par le gouvernement fédéral afin de soutenir la sécurité informatique défensive dans tous les secteurs, y compris les agences gouvernementales et les entreprises de défense. 

MITRE ATT&CK® (Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissances libre et ouverte d'informations sur la cybersécurité publiée pour la première fois en 2018. ATT&CK est conçue pour aider les analystes en cybersécurité et d'autres personnes à obtenir des informations sur les cybermenaces (CTI) pour planifier et concevoir des programmes de cyberdéfense et faciliter la communication en fournissant un vocabulaire de référence commun. 

Tactiques de MITRE ATT&CK

Matrice ATT&CK de MITRE

Le cadre ATT&CK de MITRE est divisé en trois variantes principales, chacune contenant un sous-ensemble de TTP s'appliquant à des environnements informatiques cibles spécifiques. Chaque variante est appelée "matrice". 

Les trois principales matrices du cadre ATT&CK sont la matrice d'entreprise, la matrice mobile et la matrice ICS (Industrial Control System). Les matrices "entreprise" et "mobile" sont subdivisées en sous-matrices filtrées pour ne contenir que les tactiques, techniques et procédures (TTP) pertinentes pour chaque environnement.

Matrice ATT&CK de l'entreprise

La matrice ATT&CK Entreprise contient 14 tactiques qui s'appliquent aux cyberattaques contre l'infrastructure des entreprises. La matrice d'entreprise peut être subdivisée en 7 sous-matrices. Ces sous-matrices portent sur les activités préalables à l'attaque (matrice PRE), les attaques contre des systèmes d'exploitation spécifiques (matrices Windows, Linux et macOS), les attaques contre l'infrastructure réseau (matrice réseau), les attaques contre l'infrastructure en nuage (matrice nuage) et les attaques contre les conteneurs (matrice conteneurs).

Matrice ATT&CK mobile

La matrice ATT&CK mobile contient 14 tactiques mais diffère légèrement de la matrice entreprise en ce sens que les tactiques "Reconnaissance" et "Développement des ressources" ont été remplacées par les tactiques "Effets de réseau" et "Effets de service à distance". La matrice mobile se concentre sur les systèmes d'exploitation mobiles cibles (iOS et Android). Les tactiques supplémentaires spécifiques aux mobiles soulignent la possibilité d'intercepter et d'altérer les données en transit sur les connexions WiFi et la possibilité d'atteindre des objectifs en compromettant des applications et des services mobiles.

Systèmes de contrôle industriel (ICS) Matrice ATT&CK

La matrice ATT&CK ICS contient 12 tactiques applicables aux cyberattaques contre les ICS. Elle ne comprend pas les tactiques "Credential Access" ou "Exfiltration", mais contient deux tactiques uniques qui ne figurent pas dans les matrices "Enterprise" ou "Mobile" : "Inhiber la fonction de réponse" et "Entraver le contrôle du processus". Les tactiques ICS uniques comprennent des activités hostiles telles que l'inhibition des fonctions de sécurité, de protection, d'assurance qualité ou d'intervention de l'opérateur, ou la modification des paramètres de configuration ou des microprogrammes afin d'entraver le contrôle des processus et de causer des dommages à l'infrastructure physique.

ATT&CK Tactiques, techniques et procédures

Une campagne cybernétique offensive complète comprend plusieurs étapes et nécessite la combinaison de plusieurs tactiques pour atteindre son objectif. MITRE ATT&CK utilise la perspective de la TTP pour organiser les connaissances en matière de cybersécurité dans un cadre hiérarchique. Les tactiques constituent la catégorie la plus élevée de la hiérarchie ATT&CK et correspondent aux objectifs spécifiques que les attaquants tentent d'atteindre au cours des différentes phases d'une attaque. 

Tactiques ATT&CK

  • Reconnaissance (entreprise, ICS)
  • Développement des ressources (entreprises, SCI)
  • Accès initial
  • Exécution
  • Persistance
  • L'escalade des privilèges
  • Défense Evasion
  • Accès aux justificatifs (entreprise, mobile)
  • Découverte
  • Mouvement latéral
  • Collection
  • Commandement et contrôle
  • Exfiltration (entreprise, mobile)
  • Impact 
  • Effets de réseau (mobile uniquement)
  • Effets des services de réseau (mobiles uniquement)
  • Inhiber la fonction de réponse (ICS uniquement)
  • Perturbation du contrôle des processus (ICS uniquement)
Chaque tactique contient plusieurs techniques, chacune définissant une méthode stratégique pour atteindre l'objectif tactique. Le niveau hiérarchique le plus bas du cadre ATT&CK comprend des procédures détaillées pour chaque technique, telles que les outils, les protocoles et les souches de logiciels malveillants observés lors de cyberattaques réelles. Le niveau le plus bas des informations de l'ATT&CK comprend également d'autres connaissances communes, telles que les groupes adverses connus pour utiliser chaque technique.
MITRE D3FEND est une base de connaissances - définie comme un "graphe de connaissances" par MITRE - qui constitue une bibliothèque de contre-mesures défensives de cybersécurité, de composants, et de leurs associations et capacités. Elle complète le cadre ATT&CK de MITRE, qui décrit les tactiques, techniques et procédures (TTP) des cybercriminels.

La Cyber Kill Chain® est un cadre de cyberattaque publié en 2011 par Lockheed Martin. Comme MITRE ATT&CK, le Cyber Kill Chain classe tous les comportements de cyberattaque en tactiques séquentielles.

7 étapes de la chaîne de la mort cybernétique

  1. Reconnaissance
  2. Armement
  3. Livraison 
  4. Exploitation
  5. Installation
  6. Commandement et contrôle
  7. Actions sur les objectifs

La chaîne de la mort cybernétique est fondamentalement différente du cadre ATT&CK de MITRE en ce sens qu'elle affirme que toutes les cyberattaques doivent suivre une séquence spécifique de tactiques pour réussir, ce qui n'est pas le cas du cadre ATT&CK de MITRE. Une autre différence entre les deux cadres est que le Cyber Kill Chain est essentiellement une séquence d'étapes qui constituent une cyberattaque combinée à un axiome général de sécurité défensive selon lequel "briser" n'importe quelle phase du "kill chain" empêchera un attaquant d'atteindre son objectif, et offrira donc une protection au défenseur. 

MITRE ATT&CK est bien plus qu'une séquence de tactiques d'attaque. Il s'agit d'une base de connaissances approfondie qui met en corrélation des informations de cybersécurité spécifiques à l'environnement selon une hiérarchie de tactiques, de techniques, de procédures et d'autres connaissances communes, telles que l'attribution à des groupes adverses spécifiques.

Comment utiliser le cadre ATT&CK de MITRE

Parce que l'ATT&CK comprend une perspective générale de haut niveau et des informations granulaires de bas niveau, les équipes de sécurité peuvent l'utiliser pour combler les lacunes entre les objectifs distincts des cyberattaques et les informations de bas niveau. Cela en fait un outil puissant pour la formation à la cybersécurité et la planification des programmes de sécurité des entreprises.

Cas d'utilisation de MITRE ATT&CK

Les chasseurs de menaces, les membres des équipes rouges et les défenseurs utilisent ATT&CK pour obtenir des informations sur les cyberattaques et un système de classification standard qui peut être utilisé comme référence pour la communication entre les parties prenantes lors de l'élaboration des programmes de cybersécurité de l'entreprise.

Parce qu'il s'agit d'une base de connaissances complète sur les cyberattaques, ATT&CK peut servir de liste de contrôle des objectifs et des méthodes d'attaque. Vous pouvez utiliser cette liste pour justifier la mise en œuvre de contrôles de sécurité, en veillant à ce qu'ils soient complets et offrent un certain degré de protection contre tous les éléments qui composent les cyberattaques réelles.

L'ATT&CK peut également être utilisé par les testeurs de pénétration, les équipes rouges et les testeurs de produits de sécurité pour simuler des cyberattaques réalistes. L'ATT&CK permet aux adversaires simulés de comprendre le paysage des attaques et d'appliquer les mêmes tactiques et techniques que les attaquants réels.

FAQ

Que signifie MITRE ATT&CK ?

ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge (tactiques, techniques et connaissances communes adverses).

Qu'est-ce que le cadre ATT&CK de MITRE ?

MITRE ATT&CK est une base de connaissances libre et ouverte de stratégies de cyberattaques et d'informations connexes, conçue pour aider les analystes en cybersécurité et les autres parties prenantes à obtenir des informations sur les cybermenaces (CTI) et à faciliter la communication en matière de cybersécurité offensive et défensive.

Qu'est-ce que la matrice ATT&CK de MITRE ?

La matrice ATT&CK de MITRE est un cadre hiérarchique de tactiques et de techniques d'attaque qui comprend les objectifs et les stratégies individuels des cybercriminels. Il existe trois matrices ATT&CK principales, chacune s'appliquant à des environnements distincts : Entreprise, Mobile et Systèmes de contrôle industriel.

BlackBerryLa suite de solutions de cybersécurité Cylance de MITRE ATT&CK a réussi à 100 % à prévenir les émulations d'attaques Wizard Spider et Sandworm très tôt dans l'évaluation 2022 de MITRE ATT&CK, avant qu'aucun dommage ne se produise. 

BlackBerry's CylancePROTECT® et CylanceOPTICS® ont permis de détecter avec une grande certitude des techniques d'attaque individuelles, ce qui a contribué à réduire le gaspillage des ressources consacrées à la recherche de faux positifs.