Le cadre MITRE ATT&CK est une base de connaissances répertoriant les tactiques et techniques utilisées par les cybercriminels tout au long du cycle de vie de l’attaque. Ce cadre n’est pas un simple ensemble de données : il s’agit également d’un outil conçu pour renforcer le niveau de sécurité d’une entreprise.
MITRE ATT&CK adopte le point de vue du cyberadversaire. Dès lors, les équipes chargées des opérations de sécurité peuvent plus facilement déduire le mobile des actions individuelles et établir des liens avec des classes spécifiques de défenses.
D’où proviennent les données du cadre MITRE ATT&CK ?
Le cadre MITRE ATT&CK est essentiellement alimenté par la cyberveille et les rapports d’incidents accessibles au public, ainsi que par les recherches sur les nouvelles techniques menées par les analystes en cybersécurité et les Threat Hunters (ou chasseurs de menaces). Ces professionnels l’utilisent pour mieux cerner le modus operandi des cyberadversaires afin de détecter leurs comportements et de les stopper.
Historique du cadre MITRE ATT&CK
MITRE est un organisme sans but lucratif créé pour prodiguer des conseils techniques et d’ingénierie aux autorités fédérales américaines. À l’origine, le cadre a été créé en vue d’être utilisé dans un projet de recherche de MITRE en 2013. L’acronyme ATT&CK a été formé sur la base des données recueillies : Adversarial Tactics, Techniques and Common Knowledge.
Le cadre MITRE ATT&CK est accessible gratuitement au public depuis 2015. Aujourd’hui, les équipes de sécurité de tous les secteurs l’utilisent pour protéger leur entreprise contre les menaces connues et émergentes. Alors que le cadre MITRE ATT&CK se limitait au départ aux menaces contre les systèmes d’entreprise Windows, il couvre désormais également Linux, les systèmes mobiles, macOS et ICS.
Matrice MITRE ATT&CK : tactiques et techniques
Certains cyberadversaires ont tendance à utiliser des techniques bien précises. Le cadre MITRE ATT&CK répertorie les informations qui lient les groupes de cyberadversaires aux campagnes. Les équipes de sécurité peuvent ainsi mieux comprendre les cyberadversaires auxquels elles font face, évaluer leurs défenses et renforcer la sécurité aux endroits stratégiques.
Que sont les tactiques ?
Les tactiques d’attaque sont des objectifs techniques spécifiques visés par le cyberadversaire, tels que le déplacement latéral, le contournement des défenses ou l’exfiltration. Elles sont classées en fonction de ces objectifs. Par exemple, 14 tactiques sont actuellement répertoriées dans la matrice pour les entreprises :
- Reconnaissance
- Développement des ressources
- Accès initial
- Exécution
- Persistance
- Élévation des privilèges
- Contournement des défenses
- Accès aux identifiants
- Découverte
- Déplacement latéral
- Collecte
- Commande et contrôle
- Exfiltration
- Impact
Que sont les techniques ?
Une technique décrit une méthode spécifique utilisée par un cyberadversaire pour atteindre un objectif. Chacune des catégories de « tactiques » répertorie une multitude de techniques. En effet, les cyberadversaires peuvent recourir à plusieurs techniques en fonction de facteurs tels que leurs compétences, la configuration du système des cibles et la disponibilité d’outils appropriés.
Chaque technique comporte une description de la méthode, des systèmes et plates-formes associés, des groupes de cyberadversaires qui l’utilisent (si cette information est connue), des solutions pour limiter l’activité et des références pour son utilisation dans le monde réel.
Le cadre MITRE ATT&CK identifie actuellement 188 techniques et 379 sous-techniques pour les entreprises.
Que sont les procédures ?
Les procédures sont des descriptions étape par étape du modus operandi du cyberadversaire.
MITRE ATT&CK vs chaîne d’attaque cybercriminelle
La chaîne d’attaque cybercriminelle (cyber kill chain) est un autre cadre de cybersécurité répandu utilisé pour la détection des menaces et le Threat Hunting. Contrairement au cadre MITRE ATT&CK, qui est une matrice de techniques, la chaîne d’attaque cybercriminelle définit une séquence d’événements. Élaborée par Lockheed Martin, la chaîne d’attaque cybercriminelle s’inspire du concept militaire de la chaîne d’attaque, qui décrit la structure d’une attaque.
La chaîne d’attaque cybercriminelle comprend sept étapes :
- Reconnaissance
- Constitution d’un arsenal (weaponization)
- Distribution
- Exploitation
- Installation
- Commande et contrôle (C2)
- Actions sur les objectifs
Bien que la chaîne d’attaque cybercriminelle ainsi qu’un autre cadre de sécurité, le « Diamond Model », soient toujours utilisés, le cadre MITRE ATT&CK est le plus largement adopté aujourd’hui. Contrairement aux cadres plus anciens, MITRE ATT&CK indexe tous les aspects de l’attaque, tant du côté du cyberattaquant que de l’équipe de sécurité. Les scénarios d’attaque répertoriés par MITRE ATT&CK peuvent être reproduits par les Red Teams et testés par les Blue Teams dans le cadre d’exercices de simulation d’attaques.
Quelques cas d’usage du cadre MITRE ATT&CK
Voici quelques applications possibles du cadre MITRE ATT&CK pour les équipes de sécurité :
- Analyser les failles de sécurité et planifier des améliorations de la sécurité
- Renforcer la cyberveille
- Accélérer le tri des alertes et l’investigation
- Créer des scénarios plus réalistes pour les exercices Red Team et les simulations d’attaque
- Évaluer la maturité de la sécurité de leur SOC
- Communiquer de manière claire et concise avec les parties prenantes
- Adopter un langage commun, utile pour travailler avec les consultants et les vendeurs