MITRE ATT&CK : le nouveau standard de modélisation des attaques informatiques ?
Janvier 2019
Avec MITRE ATT&CK™, on cartographie et essaye de comprendre le détail des actions entreprises par l’attaquant une fois dans le système d’information ciblé. C’est cette succession d’actions, et les traces qu’elles laissent, les erreurs commises, qui vont constituer un tout, un profil, une empreinte de techniques caractérisant une attaque et, pourquoi pas, un mode opératoire spécifique.
Entièrement libre d’accès, MITRE ATT&CK™ est un point de départ qui peut aider à structurer une démarche de threat intel en termes de capitalisation, d’analyse et de compréhension des modes opératoires attaquants, mais également en matière de détection et d’évaluation de ses propres défenses.
MITRE ATT&CK™, c’est de prime abord un wiki, une base de données considérable remplie de fiches sur les acteurs, les campagnes, les logiciels malveillants et leurs tactiques, techniques et procédures (TTPs).
MITRE ATT&CK™, c’est aussi, et surtout, une matrice (un framework) permettant de cartographier de façon simple les dimensions tactiques et techniques de modes opératoires adverses afin de traduire la donnée capitalisée en donnée actionnable.
Son modèle est très flexible et il est possible, par exemple, de l’utiliser pour :
…au regard de l’ensemble des TTPs (tactiques, techniques et procédures) de la matrice, ou de seulement quelques techniques nous ciblant ou susceptibles de nous cibler. Les techniques choisies peuvent l’être en raison de divers critères. Une “heat map” sera ici l’outil idéal.
La “tactique” est ici un objectif que l’attaquant cherche à atteindre dans le système d’information compromis. MITRE en distingue 11 : accès initial, exécution, persistance, escalade de privilèges, contournement et évasion des défenses, vol d’identifiants, exploration du SI (ou discovery), mouvements latéraux, collection de données, exfiltration et C2 (commande et contrôle).
Pour atteindre ces objectifs tactiques, l’attaquant mettra en oeuvre une ou plusieurs “techniques”. Ce sont ces techniques qui seront cartographiées.
…en traduisant certaines TTPs en règles de détection, puisque MITRE ATT&CK™ liste de façon précise les différentes TTPs.
Il existera toujours des moyens d’outrepasser les défenses traditionnelles. Par exemple, l’URL de delivery pourra être modifiée régulièrement ou le malware pourra être recompilé afin de modifier son hash. Les marqueurs fondés sur ces éléments sont donc fragiles. Mais une fois entré, l’attaquant effectuera régulièrement des actions similaires et récurrentes, qui peuvent être anticipées et détectées.
C’est pour cela que ce qui importe ici, ce sont les actions qui seront réalisées, leur enchaînement, les traces laissées, les fichiers manipulés, créés, modifiés, et les anomalies détectées. Enfin, et il faut en être conscient : détecter à partir du modèle MITRE ATT&CK™, c’est partir du postulat que le déclenchement d’une alerte implique avec un niveau de confiance élevé que le système d’information monitoré a été compromis ou est victime d’une intrusion.
…auprès de la hiérarchie ou de collègues avec un outil visuel et didactique.
…en constituant des scénarios de Red Team, technique par technique. Parce que rien ne vaut une mise en situation dans des conditions réelles, il est possible de construire des simulations très pertinentes, reproduisant fidèlement les TTPs d’un cluster d’activité, ou panachées selon l’appréciation de l’analyste.
Le Navigator, qui permet une modélisation interactive de la matrice, laisse une totale liberté de manipuler les cellules à notre guise. Les TTPs cartographiées peuvent être décorrélées d’une attaque ou d’un mode opératoire spécifique. Il est possible de cartographier des techniques pour plusieurs raisons : leur récurrence dans plusieurs attaques avancées et persistantes connues, leur redondance dans plusieurs attaques ayant ciblé un secteur d’activité, le fait qu’elles ne soient pas encore couvertes par les défenses en place, etc.
MITRE ATT&CK est un outil d’analyse, de compréhension, et de défense, mais pas un outil d’attribution, loin de là. Si les techniques et tactiques peuvent parfois caractériser l’action d’un attaquant, d’une campagne ou d’un groupe de menaces… ces techniques et tactiques peuvent être courantes, partagées et transverses aux différents modes opératoires adverses pouvant être étudiés ; et donc potentiellement insuffisantes pour discriminer deux groupes de menaces. De plus, force est de constater que l’utilisation d’outils légitimes et “grand public” est de plus en plus courante même chez les “APT stars” souhaitant se fondre dans la masse.
Toutefois, une défense améliorée grâce à MITRE ATT&CK peut être dissuasive et, dans un monde idéal, forcer l’attaquant ou le groupe de menaces à faire évoluer ses TTPs.
MITRE permet donc de :
Paris, Brest – Le 11 mai 2023 – OWN, expert du renseignement sur la menace cyber, en collaboration avec France Cyber Maritime (M-CERT), CERT national sectoriel français maritime et portuaire, dévoilent en exclusivité un rapport de plus de 70 pages sur les cybermenaces qui pèsent sur le secteur maritime.
Entité et marque à part entière, bénéficiant de l’historique fort de SEKOIA, OWN souhaite imposer son nom sur le secteur très porteur des servicescyber, au travers d’un portefeuille d’activités riche : CERT, réponse àincident, threat intelligence sur mesure, investigation OSINT à la demande, conseilen cyber, gouvernance, gestion des risques, conformité, audit et Red Team.
