Qu’est-ce que MITRE ATT&CK ?

MITRE ATT&CK (Adversarial Tactics, Techniques and Common Knowledge) est un cadre, un ensemble de matrices de données et un outil d’évaluation développés par MITRE Corporation pour aider les entreprises à comprendre leur niveau de préparation en matière de sécurité et à découvrir les vulnérabilités de leurs défenses.

Développé en 2013, le cadre MITRE ATT&CK utilise des observations concrètes pour documenter des méthodes, des tactiques et des techniques d’attaque spécifiques. À mesure de l’apparition de nouvelles vulnérabilités et surfaces d’attaque, celles-ci sont ajoutées au cadre ATT&CK, qui évolue donc constamment. Au cours des dernières années, le cadre MITRE ATT&CK et ses matrices sont devenus un standard pour les outils de connaissance et de correction relatifs au comportement des cybercriminels.

Les matrices ATT&CK sont utilisées par un large éventail de professionnels de l’informatique et de la sécurité, notamment les membres de l’équipe Red Team qui jouent le rôle d’attaquant ou de concurrent, les spécialistes en recherche de menaces et les ingénieurs de développement de produits de sécurité, ainsi que les équipes d’informations sur les menaces et les professionnels de la gestion des risques.

Les membres de l’équipe Red Team utilisent le cadre MITRE ATT&CK comme modèle pour découvrir les surfaces d’attaque et les vulnérabilités dans les systèmes et les terminaux de l’entreprise, ainsi que pour améliorer la capacité à atténuer les attaques une fois qu’elles se produisent. Cela inclut le mode d’accès des cybercriminels, la manière dont ils se déplacent au sein du réseau affecté et les méthodes utilisées pour échapper à la détection. Cet ensemble d’outils permet aux entreprises de mieux connaître leur stratégie sécuritaire globale, d’identifier et de tester les lacunes de leurs défenses, et de hiérarchiser les failles de sécurité potentielles en fonction du risque qu’elles présentent pour l’entreprise.

Les chercheurs de menaces utilisent le cadre ATT&CK pour trouver des corrélations entre les techniques spécifiques utilisées par les cybercriminels contre leurs défenses et l’utilisent également pour comprendre la visibilité des attaques ciblant leurs défenses au niveau des terminaux et sur l’ensemble du périmètre du réseau.

Les développeurs et les ingénieurs de plates-formes de sécurité utilisent MITRE ATT&CK comme un outil pour évaluer l’efficacité de leurs produits, identifier les faiblesses inconnues et modéliser le comportement de leurs produits pendant le cycle de vie d’une cyberattaque.

MITRE ATT&CK est l’abréviation de MITRE Adversarial Tactics, Techniques, and Common Knowledge (Tactiques, techniques et connaissances communes de l’adversaire) Le cadre MITRE ATT&CK est un référentiel organisé qui inclut des matrices qui présentent un modèle des comportements de cyberattaque. Le cadre est généralement présenté sous forme de tableau, avec des colonnes qui représentent les tactiques (ou les résultats souhaités) utilisées au cours de la durée de vie d’une attaque, et des lignes qui représentent les techniques utilisées pour atteindre les objectifs de leurs tactiques. Le cadre documente également l’utilisation de techniques et autres métadonnées liées aux techniques individuelles.

Le cadre MITRE ATT&CK est un développement d’une expérience MITRE qui a émulé à la fois un attaquant et un défenseur pour mieux comprendre comment les attaques se produisent et améliorer la détection post-compromission à l’aide de capteurs de télémétrie et d’analyses comportementales. Pour mieux comprendre la qualité de détection des comportements malveillants documentés par le secteur d’activité, ils ont créé le cadre ATT&CK : un outil permettant de catégoriser ces comportements.

Actuellement, le cadre ATT&CK est constitué de quatre matrices principales. Pre-ATT&CK et ATT&CK for Enterprise concernent tous deux les attaques sur l’infrastructure d’entreprise.

PRE-ATT&CK : Un grand nombre des activités (telles que la reconnaissance et le développement de ressources) menées par les cybercriminels avant qu’une entreprise ne soit compromise sont normalement effectuées hors de la vue de l’organisation, et ces tactiques et techniques pré-attaque sont donc extrêmement difficiles à détecter sur le moment. Par exemple, les cybercriminels peuvent exploiter des informations disponibles gratuitement sur Internet, les relations que l’entreprise entretient avec d’autres entreprises déjà compromises ou d’autres méthodes pour tenter d’y accéder. PRE-ATT&CK permet aux entreprises en charge de la défense de mieux surveiller et comprendre ces activités préalables aux attaques.

Enterprise ATT&CK : ATT&CK for Enterprise procure le modèle qui détaille les actions que les cybercriminels peuvent entreprendre pour compromettre et exécuter leurs activités au sein d’un réseau d’entreprise. La matrice contient des tactiques et des techniques spécifiques à l’intention d’un large éventail de plates-formes, notamment Windows, macOS, Linux, Azure AD, Office 365, Google Workspace, SaaS, IaaS, les réseaux et les conteneurs. La matrice PRE-ATT&CK faisait à l’origine partie d’ATT&CK for Enterprise, car elle cible également les tentatives de compromission des infrastructures d’entreprise. Ce cadre permet aux entreprises de hiérarchiser les défenses de leur réseau afin de se concentrer sur celles qui présentent le plus grand risque.

Mobile ATT&CK: La matrice ATT&CK for Mobile décrit les tactiques et techniques utilisées pour compromettre les terminaux iOS et Android mobiles. À cette fin, ATT&CK for Mobile s’appuie sur le catalogue des menaces mobiles du NIST et répertorie actuellement une douzaine de tactiques et plus de 100 techniques utilisées pour s’en prendre aux terminaux mobiles et atteindre les objectifs répréhensibles que les cybercriminels souhaitaient obtenir. De plus, ATT&CK for Mobile répertorie les effets sur le réseau, à savoir les tactiques et techniques qui peuvent être utilisées sans nécessiter d’accès au terminal lui-même.

ICS ATT&CK : La matrice la plus récente de la gamme ATT&CK est la matrice MITRE ATT&CK for Industrial Control Systems (ICS), qui est similaire à Enterprise ATT&CK, mais cible plus spécifiquement les systèmes de contrôle industriels, tels que les réseaux électriques, les usines et autres entreprises qui s’appuient sur des machines, des terminaux, des capteurs et des réseaux interconnectés.

Chacune des matrices comprend des descriptions techniques détaillées de chaque technique utilisée pour chaque tactique au cours du cycle de vie des attaques, les ressources et les systèmes ciblés par chaque technique, et indique les approches d’atténuation et de contre-mesure pour chacune d’entre elles, les analyses de détection utilisées pour découvrir la technique et des exemples d’utilisation en contexte.

Lors de l’affichage des matrices, les tactiques sont présentées de manière linéaire pour décrire le cycle de vie de l’attaque, du point de reconnaissance à l’objectif final, qu’il s’agisse d’exfiltration d’informations, du chiffrement des fichiers à des fins de rançongiciel ou des deux, ou encore d’autres actions malveillantes.

Le cadre ATT&CK offre principalement l’avantage de permettre aux entreprises de comprendre comment leurs adversaires fonctionnent et les étapes qu’ils peuvent prévoir pour obtenir un accès initial, découvrir les systèmes, se déplacer latéralement et exfiltrer des données. Il permet aux équipes de visualiser les activités du point de vue du cybercriminel, et ainsi de mieux comprendre ses motivations et ses tactiques. En fin de compte, les entreprises peuvent exploiter cette compréhension et ces connaissances pour identifier les lacunes de leur stratégie sécuritaire et améliorer la détection et la réponse aux menaces en permettant aux équipes de prévoir les prochaines actions des cybercriminels afin de pouvoir les corriger rapidement. On dit souvent que dans le sport, l’attaque constitue la meilleure défense. Dans le domaine de la cybersécurité, comprendre le déploiement d’une attaque peut considérablement aider à défendre le réseau, les terminaux et les utilisateurs.

De plus, dans l’environnement de travail actuel, où les compétences en matière de cybersécurité sont gravement déficitaires, ces cadres peuvent aider le personnel de sécurité débutant ou nouvellement embauché et lui fournir les connaissances et les outils de recherche dont il a besoin pour réagir rapidement face à n’importe quelle menace grâce aux connaissances collectives de tous les professionnels de la sécurité qui ont précédemment contribué aux matrices du cadre MITRE ATT&CK.

À mesure que le nombre et la taille des matrices ATT&CK a augmenté, elles n’ont fait que devenir plus complexes. Le nombre de combinaisons et de permutations de tactiques et de techniques présentées dans le cadre, bien qu’extraordinairement complet, peut s’avérer écrasant en raison de la quantité de données à assimiler et à traiter.

Par exemple, plus de 400 techniques ou schémas d’attaque sont actuellement présentés dans les quatorze tactiques décrites dans ATT&CK for Enterprise. Nombre de ces techniques contiennent également des sous-techniques, ce qui augmente encore le nombre de permutations. De nombreuses entreprises n’ont pas automatisé la mise en correspondance de toutes ces données avec leur infrastructure de sécurité actuelle, ce qui peut s’avérer une tâche colossale.

Une étude récente menée par l’UC Berkeley a révélé que si pratiquement toutes les entreprises utilisent le cadre pour marquer des événements réseau avec divers produits de sécurité, moins de la moitié des personnes interrogées ont automatisé les modifications de règles de sécurité indiquées par le cadre.

Parmi les autres complications, citons la difficulté à mettre en corrélation des événements dans le Cloud et on premise ou l’incapacité à mettre en corrélation des événements à partir de terminaux mobiles.

Dans un récent rapport, le Center for Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis présente une liste des meilleures pratiques permettant aux entreprises d’utiliser le cadre MITRE ATT&CK pour aligner les attaques sur les techniques de correction et de protection. Bien que l’étude ait révélé que les grandes entreprises adoptaient le cadre, la majorité des utilisateurs ne pensent pas que leurs produits de sécurité actuels soient en mesure de détecter toutes les menaces connues des matrices ATT&CK relatives à leur infrastructure.