Barracuda full logo

MITRE ATT@CK® : qu'est-ce que c'est et comment il améliore la sécurité ?

Thèmes:
28 janv. 2022
|
Tony Burgess

Vous avez peut-être déjà entendu ou vu le terme « MITRE ATT@CK » dans le contexte de la cybersécurité et vous vous demandez peut-être à quoi il se réfère exactement. En bref, il s'agit d'un nouveau cadre puissant permettant de catégoriser les tactiques et les techniques de cyberattaque afin de favoriser l'évaluation et l'atténuation des risques et de normaliser les communications relatives aux menaces.

Mais d'abord, penchons-nous sur la terminologie de base. MITRE est un organisme de recherche à but non lucratif qui a été créé par l'Institut technologique du Massachusetts (MIT) en 1958. Il comprend un certain nombre d'organismes subsidiaires qui reçoivent des fonds du gouvernement pour conduire un large éventail de projets de recherche et de développement. Son nom, curieusement, n'est ni l'acronyme de MIT Research and Engineering, ni quoi que ce soit d'autre ; l'un de ses fondateurs a simplement pensé que c'était un nom accrocheur et facilement mémorisable.

ATT@CK, quant à lui, est l'acronyme de « adversarial tactics, techniques, and common knowledge » (tactiques, techniques et connaissances générales des adversaires). Il s'agit d'une banque de connaissances accessible au public qui regroupe des informations concernant les tactiques et les techniques utilisées par les pirates. Elles s'organisent en trois matrices :


  • Enterprise ATT@CK, qui énumère les actions entreprises par les pirates pour pénétrer et opérer dans les réseaux d'entreprise.

  • PRE-ATT@CK, qui définit les actions entreprises par les pirates en vue d'une attaque, telles que la reconnaissance et la sélection de points d'entrée.

  • Mobile ATT@CK, une compilation des techniques et tactiques d'attaque utilisées à l'encontre des appareils mobiles


Intéressons-nous donc un peu plus en détail à la terminologie. Les « tactiques » font référence aux actions ou aux objectifs de haut niveau. Actuellement, la matrice Enterprise ATT@CK comprend 14 tactiques :

  1. Reconnaissance

  2. Développement des ressources

  3. Accès initial

  4. Exécution

  5. Persistance

  6. Élévation de privilèges

  7. Défense contre le piratage

  8. Accès par identifiant

  9. Localisation

  10. Déplacement latéral

  11. Commande et contrôle

  12. Collection

  13. Exfiltration

  14. Impact


Chacune de ces tactiques est associée à un certain nombre de « techniques ». Par exemple, dans la matrice Enterprise ATT@CK, la tactique 3, Accès initial, est actuellement associée à neuf techniques, dont la compromission par drive-by, le phishing, la compromission de la chaîne d'approvisionnement, etc. Et plusieurs de ces techniques comprennent des sous-techniques. Par exemple, le phishing compte trois sous-techniques (le Spear phishing par pièce jointe, le Spear phishing par lien et le Spear phishing par service). À ce jour, la matrice Enterprise ATT@CK répertorie 185 techniques et 367 sous-techniques, mais MITRE continue d'en ajouter au fur et à mesure qu'elles sont découvertes. Et chaque technique et sous-technique possède un identifiant numérique unique. Pour le spear phishing par lien, par exemple, l'identifiant est : T1566.002.

Objectif et avantages


Avant le développement d'ATT@CK, les stratégies et les technologies de cybersécurité étaient articulées autour de l'objectif d'identification des indicateurs de compromission (IOC). En d'autres termes, l'objectif était de catégoriser les signaux et les événements indiquant qu'une base de données ou un système avait été compromis.

L'un des principaux inconvénients de cette approche est qu'elle est essentiellement réactive : dès que vous repérez un IOC, l'attaque est déjà bien amorcée, voire terminée. En outre, étant donné la diversité des systèmes et des technologies vulnérables à la compromission et le grand nombre d'indicateurs potentiels de la compromission d'un système, la tenue d'un catalogue fiable des IOC est irréalisable. Bien sûr, il est toujours aussi important de pouvoir détecter les IOC, mais ce n'est plus l'objectif premier d'un système de cybersécurité moderne.

Le cadre ATT@CK, en revanche, fournit une liste des actions ennemies bien plus facile à gérer. Et en se focalisant sur la détection des techniques et des tactiques, les systèmes de sécurité ont plus de chances de pouvoir identifier une attaque en cours avant que des dommages ne soient causés. Cela crée également un cadre pour évaluer et traiter les vulnérabilités d'une organisation à des techniques spécifiques avant toute attaque afin de réduire les risques.

Comment l'utiliser


Pour les professionnels de la sécurité informatique, MITRE ATT@CK est un outil puissant offrant plusieurs utilisations pratiques. Lors des exercices de simulation, il sert de guide afin de simuler des attaques spécifiques et de s'entraîner à y faire face. Pour les audits de sécurité et l'évaluation des risques, il s'agit d'un cadre qui simplifie l'évaluation systématique des vulnérabilités de votre organisme vis-à-vis de tactiques et de techniques spécifiques.

Dans la mesure où il fournit une terminologie commune et clairement définie, il peut également lever toute ambiguïté lors des communications sur les vulnérabilités et les capacités de sécurité, par exemple entre les équipes de sécurité et les équipes DevOps, entre les équipes participant aux tests de pénétration et entre les acheteurs et les vendeurs de solutions de sécurité.

Chez Barracuda, MITRE ATT@CK est un outil essentiel à la planification et au développement de nouvelles capacités technologiques, ainsi que pour la conception de solutions efficaces répondant aux besoins spécifiques des clients. En outre, il nous aide à collaborer avec les clients afin d'acquérir une vision commune sur la manière d'envisager et de hiérarchiser les risques et les vulnérabilités, et sur la manière de les traiter le plus efficacement possible.

Vidéo : plonger dans les dernières perspectives sur les menaces et les tendances dans la sécurité

Tony Burgess

Avec plus de 20 ans d'expérience dans le secteur de la sécurité informatique, Tony Burgess est Senior Copywriter for Content and Customer Marketing de Barracuda.À ce titre, il effectue des recherches sur des sujets techniques complexes et traduit les résultats en une prose claire et compréhensible.

Vous pouvez vous connecter avec Tony sur LinkedIn ici.

Billets associés :
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
Threat Spotlight : le kit de phishing Tycoon révèle de nouvelles techniques pour dissimuler les liens malveillants
 La rentrée scolaire marque aussi le retour des escroqueries
La rentrée scolaire marque aussi le retour des escroqueries
 Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
Threat Spotlight : les codes QR fractionnés et imbriqués alimentent une nouvelle génération d’attaques de type « quishing »
 Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Les attaques par hameçonnage Microsoft Direct Send, c'est quoi ?
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.