Qu’est-ce que le cadre MITRE ATT&CK ?
Les tactiques, techniques et connaissances communes du MITRE Adversarial sont connues sous l’acronyme MITRE ATT&CK. Ce dernier est une base de connaissances sur les stratégies adverses basées sur des observations réelles sur le terrain. Cette base sert de point de départ pour le développement de modèles et d’approches spécialisés relatifs aux menaces pour les entreprises, les organismes publics, et la communauté des fournisseurs de produits et de services de cybersécurité.
Grâce à la création d’ATT&CK, MITRE réussit sa mission de rassembler les communautés pour améliorer la cybersécurité et résoudre les problèmes pour un monde plus sûr. Tout groupe ou individu est invité à utiliser ATT&CK sans frais.
Qui utilise MITRE ATT&CK et pourquoi ?
Les entreprises des secteurs privé et public de toutes tailles et de tous domaines d’activités utilisent l’outil gratuit ATT&CK. Les utilisateurs incluent des équipes internes intéressées par le développement des systèmes, d’applications et des services sécurisés, ainsi que des défenseurs de la sécurité des testeurs de pénétration, des équipes rouges et des équipes de renseignement sur les cybermenaces. Les organisations peuvent évaluer si elles collectent les données appropriées pour identifier correctement les attaques et évaluer la performance de leurs défenses actuelles en examinant l’abondance des informations sur les attaques qu’elles contiennent.
ATT&CK repose délibérément sur l’interprétation du point de vue d’un attaquant, contrairement aux modèles existants construits du point de vue d’un défenseur, pour aider les entreprises à comprendre comment les cybercriminels abordent, planifient et mènent à bien leurs attaques. Cela fait d’ATT&CK une ressource et un outil pédagogique précieux et efficaces pour toute personne intéressée par une carrière dans la cybersécurité ou l’intelligence des menaces, ainsi que pour ceux qui souhaitent simplement en savoir plus sur les tactiques utilisées par les attaquants.
Bien que les données de l’ATT&CK reflètent les tendances documentées des APT, il serait incorrect de croire que les APT seuls sont responsables de telles actions.Si vous pensez que votre entreprise ne peut pas bénéficier d’ATT&CK car elle n’est pas une cible APT et ne rencontrera jamais des cyberattaques comme un APT, détrompez-vous… Chaque jour, des entreprises de toutes formes et de toutes tailles s’engagent dans les TTPS spécifiés dans ATT&CK. Il n’est pas forcément nécessaire d’être une cible d’APTE pour subir ce genre d’attaque ou pour recourir à l’outil ATT&CK afin de renforcer vos défenses.
Que décrit ce cadre ?
La méthodologie ATT&CK développée par MITRE explique comment les attaquants infiltrent les réseaux avant de se déplacer latéralement, d’augmenter les privilèges et d’esquiver globalement vos défenses. ATT&CK aborde la question du point de vue de l’ennemi. Cette approche détermine les objectifs techniques qu’ils cherchent à accomplir et qui s’inscrivent dans un ensemble de stratégies.
L’évasion défensive, la mobilité latéraux et l’exfiltration ne sont que quelques exemples de stratégies. L’acronyme ATT&CK définit un certain nombre de stratégies pour chaque domaine. Chaque approche décrit une stratégie possible qu’un ennemi peut utiliser pour essayer d’atteindre cet objectif. Comme les adversaires peuvent utiliser plusieurs approches en fonction de leurs propres compétences ou de facteurs tels que la disponibilité des outils ou la configuration de vos systèmes, il existe de nombreuses stratégies au sein de chaque tactique. Chaque méthode de détection d’attaque contient une description du vecteur d’attaque, des systèmes ou des plateformes auxquels elle s’applique et, si elles sont connues, des organisations adverses particulières qui l’utilisent.
En plus de toute référence documentée à l’approche utilisée, les techniques expliquent les stratégies pour contrôler le comportement. Avec l’aide d’ATT&CK, vous pouvez développer une stratégie pour voir ou supprimer le comportement potentiel d’un adversaire. Avec ces informations, vous serez mieux en mesure de comprendre les différentes techniques de préparation et d’exécution utilisées par vos adversaires. Les tactiques d’ATT&CK peuvent également être utilisés pour vous aider à repérer les mouvements d’un cybercriminel Vous pouvez tirer parti des ressources du modèle ATT&CK pour créer des analyses capables d’identifier les tactiques d’un adversaire.
Une bibliothèque de données sur des groupes ennemis spécifiques et leurs campagnes précédentes est également conservée par ATT&CK. Le cadre ATT&CK est divisé en un certain nombre de domaines technologiques car les adversaires utilisent fréquemment différentes techniques pour attaquer diverses plateformes et technologies. De plus, comme ATT&CK est basé sur des observations du monde réel, il vous permet de corréler des adversaires spécifiques et les techniques qu’ils ont utilisées.
Les réseaux d’entreprise fonctionnant sous Windows et Linux, ainsi que les appareils mobiles, font partie des domaines désormais pris en charge par ATT&CK. Le modèle ATT&CK peut aider votre entreprise à mieux comprendre les stratégies que certains attaquants sont susceptibles d’employer. Ces informations peuvent être utilisées pour évaluer vos défenses et apporter les ajustements nécessaires.
La création d’une communauté autour de l’ATT&CK permettra aux spécialistes de nombreux domaines et technologies de collaborer et de faire progresser le corpus de connaissances inclus dans le cadre. De plus, MITRE peut offrir un environnement sans conflit pour la création, le partage et la gestion de ces connaissances, en les rendant accessibles à tous, car il s’agit d’une organisation à but non lucratif œuvrant dans l’intérêt public.
Comment MITRE ATT&CK framework aide-t-il les organisations ?
Vous pouvez mieux comprendre les nombreuses techniques utilisées par les acteurs malveillants pour compromettre la sécurité de votre réseau en utilisant le framework ATT&CK. En vous en servant comme guide, vous pouvez identifier les vulnérabilités de votre réseau, créer des simulations d’adversaires et apprendre des tactiques d’atténuation et de prévention.
Le framework est en constante évolution et les données qu’il contient sont tirées d’instances réelles. C’est une ressource fantastique pour les services informatiques de toutes les entreprises, car elle leur permet de trouver les points faibles de leur sécurité et de développer un plan de prévention plus résilient.
