Qu'est-ce que le Framework MITRE ATT&CK ?
2024 Évaluations MITRE ATT&CK: Avec Trend Vision One™, les attaquants ne peuvent se cacher nulle part
MITRE ATT&CK Framework
MITRE ATT&CK signifie tactiques, techniques et connaissances communes contradictoires. Il s'agit d'une base de connaissances publique sur les tactiques et techniques contradictoires, qui peut être utilisée comme base pour le développement de modèles et méthodologies spécifiques aux cybermenaces.
Cette base de connaissances a été développée sur la base des trois concepts suivants :
- Il maintient le point de vue de l'adversaire
- Il suit l’utilisation réelle de l’activité grâce à des exemples d’utilisation empirique
- Le niveau d’abstraction est approprié pour faire le lien entre une action offensive et une éventuelle défense
MITRE ATT&CK aide le secteur à définir et à normaliser la manière de décrire l'approche d'un attaquant. Il collecte et catégorise les tactiques, techniques et procédures d'attaque (TTP) courantes, puis organise ces informations dans un cadre.
Le 3e concept, qui nécessite un niveau d’abstraction approprié pour faire le lien entre la méthode d’attaque et les contre-mesures qui peuvent être mises en œuvre du côté de la défense, est particulièrement important lorsque vous comprenez la structure d’ATT&CK. Les informations sont organisées comme des informations avec un degré élevé d’abstraction, et non des informations individuelles/spécifiques telles que les adresses IP, les URL et les informations de signature des malwares.
La base du concept de facteurs est d'analyser les attaques en fonction de ce que l'on appelle la tactique, la technique et la procédure (TTP). Principalement, les connaissances sur les techniques sont acquises et organisées.
- Tactique : Objectif à court terme d'un attaquant
- Technique : Les moyens pour un attaquant d'atteindre un objectif
- Procédure : Une méthode spécifique pour qu'un attaquant utilise des techniques
Ce cadre peut être utilisé pour expliquer comment les adversaires se comportent, ce qu’ils essaient de faire et comment.
Avoir un langage et un cadre communs est important pour communiquer, comprendre et répondre aux menaces aussi efficacement que possible.
MITRE ATT&CK est devenu une base de connaissances essentielle pour les cyberdéfendeurs, améliorant ainsi l'efficacité de la sécurité et le temps de réponse. L'évaluation annuelle MITRE compare l'innovation à l'échelle du secteur pour fournir les solutions nécessaires pour détecter et répondre à l'évolution du paysage des menaces.
Ressource de https://attack.mitre.org/resources/
Ce type de framework est extrêmement utile pour les professionnels de la sécurité de l'information, car il les tient informés des nouvelles techniques d'attaque et empêche les attaques de se produire en premier lieu.
Les organisations utilisent ATT&CK pour normaliser les conversations communautaires, les tests de défense et les évaluations de produits/services.
Évaluations MITRE ATT&CK
L'évaluation MITRE ATT&CK offre de la transparence aux clients et des scénarios d'attaque réels. Cela permet aux clients d'évaluer activement les produits de sécurité pour se protéger des dernières avancées des attaquants en fonction de leurs domaines de plus grand besoin. L'évaluation utilise une émulation antagoniste pour s'assurer que les clients peuvent répondre aux menaces actuelles. Utiliser des techniques, outils, méthodes et objectifs inspirés de ceux d'un attaquant.
Les simulations sont exécutées dans un environnement de laboratoire contrôlé pour garantir des tests justes et précis. Les techniques d'attaque sont ensuite utilisées de manière logique étape par étape pour explorer l'étendue de la couverture ATT&CK.
Les évaluations ne sont pas une analyse concurrentielle. Il n’existe pas de scores, de classements ou de notations. Ils montrent plutôt comment chaque fournisseur aborde la détection des menaces dans le contexte de la base de connaissances ATT&CK
L'évaluation offre aux acheteurs et aux clients de solutions de cybersécurité une option impartiale pour évaluer les produits de sécurité afin de s'armer des dernières avancées des attaquants en fonction de leurs domaines de plus grand besoin.
Par exemple, en 2022, l’évaluation a émulé des flux opérationnels d’artisanat Wizard Spider et Sandworm pour simuler des attaques similaires au comportement utilisé dans la nature par ces groupes. Une fois la simulation exécutée, les résultats ont été traités et rendus publics, y compris la méthodologie
Matrices MITRE ATT&CK
Le cadre MITRE ATT&CK est structuré en plusieurs matrices, chacune adaptée à des environnements spécifiques où les cybermenaces opèrent. Ces matrices catégorisent les tactiques, techniques et procédures (TTP) utilisées par les attaquants, aidant ainsi les équipes de sécurité à améliorer leurs stratégies de défense.
Matrice d'entreprise
La matrice la plus complète, couvrant les menaces dans les environnements Windows, macOS, Linux et cloud. Il comprend des techniques telles que l’escalade des privilèges, le mouvement latéral et l’exfiltration des données.
Matrice mobile
Axé sur les menaces ciblant les appareils iOS et Android. Cette matrice détaille les techniques d'attaque telles que le vol d'identifiants, l'exploitation du réseau et la persistance des malware mobiles.
Matrice ICS (Industrial Control Systems)
Traite les cybermenaces spécifiques aux environnements industriels, tels que les systèmes SCADA. Il met en évidence les techniques utilisées pour perturber l'infrastructure critique, notamment l'exécution de commandes non autorisées et la manipulation de firmware.
Tactiques MITRE ATT&CK
La tactique représente le « pourquoi » de la technique. C'est la raison pour laquelle un attaquant exécute une action. Une technique est le « moyen » pour qu'un attaquant atteigne un objectif en exécutant une action. Il représente également ce que l'attaquant acquiert.
Lorsque l'on considère le domaine d'Enterprise comme une analogie, la tactique est la suivante :
- Accès initial : Méthodes utilisées par les attaquants pour infiltrer un réseau, telles que le phishing, la compromission de la chaîne d’approvisionnement et l’exploitation d’applications destinées au public.
- Exécution : Techniques qui exécutent du code malveillant sur un système, y compris l’exécution de ligne de commande, la création de scripts et l’exploitation pour l’exécution client.
- Persévérance : Méthodes utilisées par les attaquants pour maintenir l'accès après la compromission initiale, comme la création de nouveaux comptes utilisateur, les modifications de registre et les tâches planifiées.
- Remontée des privilèges : Les adversaires obtiennent des autorisations de niveau supérieur, telles que l'exploitation des vulnérabilités, le dumping des informations d'identification et la manipulation des jetons d'accès.
- Évasion de la défense : Techniques pour contourner les mesures de sécurité, notamment la désactivation des outils de sécurité, l'obscurcissement des fichiers et l'injection de processus.
- Accès aux informations d'identification : Méthodes pour voler des informations d'identification, telles que l'enregistrement de clés, les attaques par force brute et le dumping d'informations d'identification.
- Découverte : Tactiques utilisées pour recueillir des informations sur un système ou un réseau, comme l’analyse du réseau et l’énumération des comptes.
- Mouvement latéral : Techniques pour se déplacer dans les systèmes, comme le protocole de bureau à distance (RDP) et les attaques de passage.
- Collecte : Méthodes de collecte de données sensibles, y compris la capture d'écran, l'enregistrement de clé et les données provenant de bases de données locales.
- Exfiltration : Moyens de transférer des données volées hors d’un réseau, comme l’exfiltration chiffrée et l’abus de stockage dans le cloud.
- Impact : Techniques visant à perturber les opérations, y compris le déploiement de ransomware, la destruction de données et les attaques par déni de service.
Techniques MITRE ATT&CK
Le cadre MITRE ATT&CK catégorise les techniques antagonistes utilisées dans les cyberattaques. Les techniques clés comprennent :
- Accès initial – Méthodes telles que le phishing et l’exploitation d’applications publiques pour obtenir l’entrée.
- Exécution : exécution de code malveillant via une ligne de commande ou un script.
- Persistance : maintien de l'accès par le biais de modifications de registre ou de tâches planifiées.
- Escalade des privilèges : obtention de privilèges plus élevés à l'aide d'exploits ou de dumping d'informations d'identification.
- Évasion de la défense – Contourner la sécurité avec des outils occultants ou désactivants.
- Mouvement latéral – Se propager sur les réseaux via RDP ou passe-passe.
- Exfiltration : voler des données à l'aide d'abus cloud ou de transferts chiffrés.
Comprendre ces techniques aide les organisations à renforcer les défenses de sécurité.
Anatomie du cadre MITRE ATT&CK
Les tactiques sont la description de ce que les attaquants essaient d'atteindre.
Les tactiques sont similaires à un chapitre d'un livre. Un RSSI peut décrire une histoire qu'il veut raconter avec les tactiques de haut niveau utilisées dans une attaque, puis se référer aux techniques pour raconter comment il a accompli l'attaque, ce qui fournit des détails supplémentaires
Exemple d'histoire : Créer une histoire d'attaque dans un langage commun
L'objectif de l'attaquant était d'obtenir un accès initial au réseau. En utilisant une compromission de type drive-by avec un lien de spear-phishing et une relation de confiance, l'attaquant a obtenu un accès initial à l'aide de cette technique.
Remarque : Le framework répertorie toutes les façons connues dont un attaquant peut obtenir un accès initial.
Comment une solution de cybersécurité peut-elle aider ?
La solution cartographie les produits qui sont associés au cadre ATT&CK, en montrant des tactiques et des techniques sur les détections, ce qui montre comment nous pouvons vous aider à relever les défis liés à la détection et à la réponse aux menaces
Qu’en est-il de la prévention ?
Les contrôles préventifs sont un élément important d'une stratégie d'atténuation des menaces qui ajoute de la résilience en cas d'attaque. Les contrôles préventifs ont été testés lors de la dernière série, avec la possibilité de dévier les risques rapidement, ce qui permet aux organisations de consacrer plus de temps à des problèmes de sécurité plus difficiles.
MITRE ATT&CK vs Cyber Kill Chain
MITRE ATT&CK est conçu pour fournir un niveau de granularité plus approfondi dans la description de ce qui peut se produire pendant une attaque, qui est un pas en avant par rapport à la chaîne Cyber Kill Chain
La chaîne de cyber-détruction comporte sept étapes :
- Reconnaissance
- Intrusion
- Exploitation
- Exécution des privilèges
- Propagation en interne
- Obfuscations / Anti-médico-légal
- Refus de service
- Exfiltration
Cas d’utilisation MITRE ATT&CK
MITRE ATT&CK vous permet d'organiser les technologies du point de vue de l'attaquant et de référencer les contre-mesures du côté de la défense. Par conséquent, les cas d'utilisation suivants sont décrits.
Émulation antagoniste
L'émulation d'un attaquant. À partir des groupes de la base de données, extrayez les techniques et les scénarios d'attaque utilisés par un attaquant spécifique, détectez une série d'attaques et vérifiez s'il existe des mesures défensives contre ces attaques.
Équipe rouge
Créez des scénarios d'attaque pour les cyber-exercices. L'équipe rouge joue le rôle de l'assaillant, l'équipe bleue joue le rôle de la défense et l'équipe blanche joue le rôle du contrôle et du jugement.
Développement de l'analyse comportementale
Au lieu de l'IOC et des informations sur les menaces connues, utilisez la base de connaissances d'ATT&CK et analysez les techniques et schémas d'action inconnus pour développer de nouvelles contre-mesures.
Évaluation défensive des lacunes
Identifiez ce qui est déficient dans les contre-mesures existantes d’une organisation. Déterminez les priorités d'investissement.
Évaluation de la maturité du SOC
Déterminez l'efficacité de la détection, de l'analyse et de la réponse par SOC.
Enrichissement des renseignements sur les cybermenaces
L'analyste peut comprendre en profondeur les actions d'un groupe d'attaquants et les signaler. Il est possible d'identifier clairement le type d'outils qu'un groupe spécifique a utilisé, le type de technologie et la procédure que le groupe a utilisée lors du démarrage des attaques, en récupérant les données de la base de données.
Bien qu'il s'agisse d'un domaine professionnel, le site Web de MITRE ATT&CK fournit également une application appelée ATT&CK Navigator, qui vous permet de créer une matrice selon les objectifs décrits ci-dessus.
Résultats MITRE ATT&CK 2024 pour la sécurité d’entreprise
Détection à 100 % de toutes les étapes d'attaque majeures
En 2024, MITRE Engenuity a amélioré le jeu, en simulant les techniques d’attaque modernes les plus réelles à ce jour. Dire que Trend Micro a écrasé la mission est un euphémisme.
L’incroyable performance 2024 dans MITRE Engenuity ATT&CK Evaluations est la cinquième fois consécutive et inclut certains des scores les plus élevés jamais enregistrés pour n’importe quel fournisseur.
Avec plus de 161 milliards de menaces bloquées en 2023, soit une augmentation de 10 % par rapport à 2022, il est essentiel d'obtenir une meilleure visibilité sur les risques pour arrêter les attaques de manière proactive, même les plus avancées.
Les évaluations de cette année se sont concentrées sur les tactiques, les techniques et les procédures (TTP) de DPRK, CL0P et LockBit, trois des ransomwares les plus sophistiqués et dangereux.