Qu’est-ce que MITRE ATT&CK ?

MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) est un cadre, un ensemble de matrices de données et un outil d’évaluation développés par MITRE Corporation pour aider les entreprises à comprendre leur niveau de préparation en matière de sécurité et à découvrir les vulnérabilités de leurs défenses.

Développé en 2013, le cadre MITRE ATT&CK utilise des observations concrètes pour documenter des méthodes, des tactiques et des techniques d’attaque spécifiques. À mesure de l’apparition de nouvelles vulnérabilités et surfaces d’attaque, celles-ci sont ajoutées au cadre ATT&CK, qui évolue donc constamment. Au cours des dernières années, le cadre MITRE ATT&CK et ses matrices sont devenus un standard pour les outils de connaissance et de correction relatifs au comportement des cybercriminels.

VMware offre une visibilité complète sur les terminaux et le réseau dans la dernière version de MITRE Engenuity ATT&CK® Evaluation

Manuel d’instructions MITRE ATT&CK

Qui utilise MITRE ATT&CK et pourquoi ?

Les matrices ATT&CK sont utilisées par un large éventail de professionnels de l’informatique et de la sécurité, notamment les membres de l’équipe Red Team qui jouent le rôle d’attaquant ou de concurrent, les spécialistes en recherche de menaces et les ingénieurs de développement de produits de sécurité, ainsi que les équipes d’informations sur les menaces et les professionnels de la gestion des risques.

Les membres de l’équipe Red Team utilisent le cadre MITRE ATT&CK comme modèle pour découvrir les surfaces d’attaque et les vulnérabilités dans les systèmes et les terminaux de l’entreprise, ainsi que pour améliorer la capacité à atténuer les attaques une fois qu’elles se produisent. Cela inclut le mode d’accès des cybercriminels, la manière dont ils se déplacent au sein du réseau affecté et les méthodes utilisées pour échapper à la détection. Cet ensemble d’outils permet aux entreprises de mieux connaître leur stratégie sécuritaire globale, d’identifier et de tester les lacunes de leurs défenses, et de hiérarchiser les failles de sécurité potentielles en fonction du risque qu’elles présentent pour l’entreprise.

Les chercheurs de menaces utilisent le cadre ATT&CK pour trouver des corrélations entre les techniques spécifiques utilisées par les cybercriminels contre leurs défenses et l’utilisent également pour comprendre la visibilité des attaques ciblant leurs défenses au niveau des terminaux et sur l’ensemble du périmètre du réseau.

Les développeurs et les ingénieurs de plates-formes de sécurité utilisent MITRE ATT&CK comme un outil pour évaluer l’efficacité de leurs produits, identifier les faiblesses inconnues et modéliser le comportement de leurs produits pendant le cycle de vie d’une cyberattaque.

Qu’est-ce que le cadre MITRE ATT&CK ?

MITRE ATT&CK est l’abréviation de MITRE Adversarial Tactics, Techniques, and Common Knowledge (Tactiques, techniques et connaissances communes de l’adversaire) Le cadre MITRE ATT&CK est un référentiel organisé qui inclut des matrices qui présentent un modèle des comportements de cyberattaque. Le cadre est généralement présenté sous forme de tableau, avec des colonnes qui représentent les tactiques (ou les résultats souhaités) utilisées au cours de la durée de vie d’une attaque, et des lignes qui représentent les techniques utilisées pour atteindre les objectifs de leurs tactiques. Le cadre documente également l’utilisation de techniques et autres métadonnées liées aux techniques individuelles.

Le cadre MITRE ATT&CK est un développement d’une expérience MITRE qui a émulé à la fois un attaquant et un défenseur pour mieux comprendre comment les attaques se produisent et améliorer la détection post-compromission à l’aide de capteurs de télémétrie et d’analyses comportementales. Pour mieux comprendre la qualité de détection des comportements malveillants documentés par le secteur d’activité, ils ont créé le cadre ATT&CK : un outil permettant de catégoriser ces comportements.

Que contient la matrice MITRE ATT&CK ?

Actuellement, le cadre ATT&CK est constitué de quatre matrices principales. Pre-ATT&CK et ATT&CK for Enterprise concernent tous deux les attaques sur l’infrastructure d’entreprise.

PRE-ATT&CK : Un grand nombre des activités (telles que la reconnaissance et le développement de ressources) menées par les cybercriminels avant qu’une entreprise ne soit compromise sont normalement effectuées hors de la vue de l’organisation, et ces tactiques et techniques pré-attaque sont donc extrêmement difficiles à détecter sur le moment. Par exemple, les cybercriminels peuvent exploiter des informations disponibles gratuitement sur Internet, les relations que l’entreprise entretient avec d’autres entreprises déjà compromises ou d’autres méthodes pour tenter d’y accéder. PRE-ATT&CK permet aux entreprises en charge de la défense de mieux surveiller et comprendre ces activités préalables aux attaques.

Enterprise ATT&CK : ATT&CK for Enterprise procure le modèle qui détaille les actions que les cybercriminels peuvent entreprendre pour compromettre et exécuter leurs activités au sein d’un réseau d’entreprise. La matrice contient des tactiques et des techniques spécifiques à l’intention d’un large éventail de plates-formes, notamment Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, les réseaux et les conteneurs. La matrice PRE-ATT&CK faisait à l’origine partie d’ATT&CK for Enterprise, car elle cible également les tentatives de compromission des infrastructures d’entreprise. Ce cadre permet aux entreprises de hiérarchiser les défenses de leur réseau afin de se concentrer sur celles qui présentent le plus grand risque.

Mobile ATT&CK: La matrice ATT&CK for Mobile décrit les tactiques et techniques utilisées pour compromettre les terminaux iOS et Android mobiles. À cette fin, ATT&CK for Mobile s’appuie sur le catalogue des menaces mobiles du NIST et répertorie actuellement une douzaine de tactiques et plus de 100 techniques utilisées pour s’en prendre aux terminaux mobiles et atteindre les objectifs répréhensibles que les cybercriminels souhaitaient obtenir. De plus, ATT&CK for Mobile répertorie les effets sur le réseau, à savoir les tactiques et techniques qui peuvent être utilisées sans nécessiter d’accès au terminal lui-même.

ICS ATT&CK : La matrice la plus récente de la gamme ATT&CK est la matrice MITRE ATT&CK for Industrial Control Systems (ICS), qui est similaire à Enterprise ATT&CK, mais cible plus spécifiquement les systèmes de contrôle industriels, tels que les réseaux électriques, les usines et autres entreprises qui s’appuient sur des machines, des terminaux, des capteurs et des réseaux interconnectés.

Chacune des matrices comprend des descriptions techniques détaillées de chaque technique utilisée pour chaque tactique au cours du cycle de vie des attaques, les ressources et les systèmes ciblés par chaque technique, et indique les approches d’atténuation et de contre-mesure pour chacune d’entre elles, les analyses de détection utilisées pour découvrir la technique et des exemples d’utilisation en contexte.

Lors de l’affichage des matrices, les tactiques sont présentées de manière linéaire pour décrire le cycle de vie de l’attaque, du point de reconnaissance à l’objectif final, qu’il s’agisse d’exfiltration d’informations, du chiffrement des fichiers à des fins de rançongiciel ou des deux, ou encore d’autres actions malveillantes.

Quels sont les avantages du cadre MITRE ATT&CK ?

Le cadre ATT&CK offre principalement l’avantage de permettre aux entreprises de comprendre comment leurs adversaires fonctionnent et les étapes qu’ils peuvent prévoir pour obtenir un accès initial, découvrir les systèmes, se déplacer latéralement et exfiltrer des données. Il permet aux équipes de visualiser les activités du point de vue du cybercriminel, et ainsi de mieux comprendre ses motivations et ses tactiques. En fin de compte, les entreprises peuvent exploiter cette compréhension et ces connaissances pour identifier les lacunes de leur stratégie sécuritaire et améliorer la détection et la réponse aux menaces en permettant aux équipes de prévoir les prochaines actions des cybercriminels afin de pouvoir les corriger rapidement. On dit souvent que dans le sport, l’attaque constitue la meilleure défense. Dans le domaine de la cybersécurité, comprendre le déploiement d’une attaque peut considérablement aider à défendre le réseau, les terminaux et les utilisateurs.

De plus, dans l’environnement de travail actuel, où les compétences en matière de cybersécurité sont gravement déficitaires, ces cadres peuvent aider le personnel de sécurité débutant ou nouvellement embauché et lui fournir les connaissances et les outils de recherche dont il a besoin pour réagir rapidement face à n’importe quelle menace grâce aux connaissances collectives de tous les professionnels de la sécurité qui ont précédemment contribué aux matrices du cadre MITRE ATT&CK.

Quels sont les problématiques liées à l’utilisation du cadre MITRE ATT&CK ?

À mesure que le nombre et la taille des matrices ATT&CK a augmenté, elles n’ont fait que devenir plus complexes. Le nombre de combinaisons et de permutations de tactiques et de techniques présentées dans le cadre, bien qu’extraordinairement complet, peut s’avérer écrasant en raison de la quantité de données à assimiler et à traiter.

Par exemple, plus de 400 techniques ou schémas d’attaque sont actuellement présentés dans les quatorze tactiques décrites dans ATT&CK for Enterprise. Nombre de ces techniques contiennent également des sous-techniques, ce qui augmente encore le nombre de permutations. De nombreuses entreprises n’ont pas automatisé la mise en correspondance de toutes ces données avec leur infrastructure de sécurité actuelle, ce qui peut s’avérer une tâche colossale.

Une étude récente menée par l’UC Berkeley a révélé que si pratiquement toutes les entreprises utilisent le cadre pour marquer des événements réseau avec divers produits de sécurité, moins de la moitié des personnes interrogées ont automatisé les modifications de règles de sécurité indiquées par le cadre.

Parmi les autres complications, citons la difficulté à mettre en corrélation des événements dans le Cloud et on premise ou l’incapacité à mettre en corrélation des événements à partir de terminaux mobiles.

Comment utilisez-vous le cadre MITRE ATT&CK ?

Dans un récent rapport, le Center for Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis présente une liste des meilleures pratiques permettant aux entreprises d’utiliser le cadre MITRE ATT&CK pour aligner les attaques sur les techniques de correction et de protection. Bien que l’étude ait révélé que les grandes entreprises adoptaient le cadre, la majorité des utilisateurs ne pensent pas que leurs produits de sécurité actuels soient en mesure de détecter toutes les menaces connues des matrices ATT&CK relatives à leur infrastructure.

Comment VMware utilise-t-il le cadre MITRE ATT&CK ?

L’échelle et la rentabilité du Cloud ont représenté une aubaine pour l’entreprise d’aujourd’hui. Cependant, le déplacement des applications et des données hors du Data Center vers des environnements multicloud a considérablement étendu les surfaces de menace et a exposé entreprises à un risque plus grand face aux attaques de rançongiciels. De plus, les applications modernes comportent des dizaines de milliers de composants. Pour se défendre contre les attaques de plus en plus sophistiquées et préjudiciables des rançongiciels, les entreprises doivent aller au-delà de la segmentation à l’intérieur du Data Center et des pare-feu traditionnels de nouvelle génération au niveau du périmètre. Participez à cette session pour découvrir une attaque par rançongiciel réelle et le cadre MITRE ATT&CK, et voir comment l’innovation de VMware dans le Cloud associée à la sécurité de Cloud à Cloud offre la plus puissante défense du marché. - Innovations en matière de défense contre les rançongiciels pour les environnements multicloud d’aujourd’hui

Les entreprises constatent des lacunes dans leurs défenses et améliorent leur capacité à prévenir, détecter et répondre aux menaces sur le réseau en mettant en correspondance leurs contrôles de sécurité réseau avec MITRE ATT&CK. Cette session présente les avantages que les entreprises peuvent obtenir en mettant en correspondance leurs contrôles de sécurité réseau avec MITRE ATT&CK. Elle vous permettra de découvrir comment mettre en correspondance les contrôles de sécurité réseau avec les mouvements des adversaires sur l’ensemble des tactiques et techniques de MITRE ATT&CK, et met en évidence les différences fondamentales de la couverture par MITRE ATT&CK du pare-feu défini par NSX, des systèmes de prévention des intrusions, du sandbox réseau et de l’analyse du trafic réseau. -  Mise en correspondance des contrôles NXS Firewall avec le cadre MITRE ATT&CK - Mise en correspondance des contrôles NXS Firewall avec le cadre MITRE ATT&CK

Découvrez comment identifier les failles de sécurité avant qu’un cybercriminel ne le fasse à l’aide de la matrice MITRE ATT&CK. Découvrez comment développer une série de points de départ pour une recherche des menaces plus efficace et finalement renforcer votre stratégie sécuritaire. Découvrez la dernière évaluation Carbanak+FIN7 de MITRE, ainsi que les étapes de base pour améliorer votre programme de recherche de menaces avec VMware Carbon Black Cloud et VMware NSX Advanced Threat Prevention. - Comment faire évoluer votre SOC avec le cadre MITRE ATT&CK - Comment faire évoluer votre SOC avec le cadre MITRE ATT&CK.

 

Solutions et produits connexes

NSX Network Detection and Response

Corrélation des événements basée sur l’IA entre plusieurs moteurs de détection

Carbon Black Cloud

Transformez la sécurité avec une protection intelligente des terminaux et des charges de travail qui s’adapte à vos besoins.

NSX Distributed Firewall

Pare-feu interne de couche 7