cadre d'attaque principal

MITRE ATT&ACK® : Qu'est-ce que c'est et comment il améliore la sécurité

Version imprimable, PDF et e-mail

Vous avez peut-être déjà entendu ou vu le terme « MITRE ATT@CK » dans le contexte de la cybersécurité et vous vous demandez peut-être à quoi il se réfère exactement. En bref, il s'agit d'un nouveau et puissant cadre permettant de catégoriser les tactiques et techniques de cyberattaque afin de favoriser l'évaluation et l'atténuation des risques et de normaliser les communications relatives aux menaces.

Mais d'abord, penchons-nous sur la terminologie de base. MITRE est un organisme de recherche à but non lucratif qui a été créé par l'Institut technologique du Massachusetts (MIT) en 1958. Il comprend un certain nombre de filiales qui reçoivent des fonds du gouvernement pour conduire un large éventail de projets de recherche et de développement. Son nom, curieusement, n'est ni l'acronyme de MIT Research and Engineering, ni quoi que ce soit d'autre ; l'un de ses fondateurs a simplement pensé que c'était un nom accrocheur et facilement mémorisable.

ATT@CK, quant à lui, est un acronyme, pour « adversarial tactics, techniques, and common knowledge » (tactiques, techniques et connaissances générales des adversaires). Il s'agit d'une banque de connaissances accessible au public relative aux tactiques et techniques utilisées par les pirates. Elles s'organisent en trois matrices :

  • Enterprise ATT@CK, qui énumère les actions entreprises par les pirates pour pénétrer et opérer dans les réseaux d'entreprise.
  • PRE-ATT@CK, qui définit les actions entreprises par les pirates en vue d'une attaque, telles que la reconnaissance et la sélection de points d'entrée.
  • Mobile ATT@CK, une compilation des techniques et tactiques d'attaque utilisées à l'encontre des appareils mobiles

Intéressons-nous donc un peu plus en détail à la terminologie. Les « tactiques » font référence aux actions ou aux objectifs de haut niveau. Actuellement, la matrice Enterprise ATT@CK comprend 14 tactiques :

  1. Reconnaissance
  2. Développement des ressources
  3. Accès initial
  4. Exécution
  5. Persistance
  6. Élévation de privilèges
  7. Défense contre le piratage
  8. Accès par identifiant
  9. Localisation
  10. Déplacement latéral
  11. Commande et contrôle
  12. Collection
  13. Exfiltration
  14. Impact

Chacune de ces tactiques est associée à un certain nombre de « techniques ». Par exemple, dans la matrice Enterprise ATT@CK, la tactique 3, Accès initial, est actuellement associée à neuf techniques, dont la compromission par drive-by, le phishing, la compromission de la chaîne d'approvisionnement, etc. Et plusieurs de ces techniques comprennent des sous-techniques. Par exemple, le phishing compte trois sous-techniques (le Spear phishing via une pièce jointe, le Spear phishing via un lien et le Spear phishing via un service). À ce jour, la matrice Enterprise ATT@CK répertorie 185 techniques et 367 sous-techniques mais MITRE continue d'en ajouter au fur et à mesure qu'elles sont découvertes. Et chaque technique et sous-technique possède un identifiant numérique unique. Pour le Spear phishing via un lien, par exemple, l'identifiant est : T1566.002.

Objectif et avantages

Avant le développement d'ATT@CK, les stratégies et technologies de cybersécurité étaient articulées autour de l'objectif d'identification des indicateurs de compromission (IOC). En d'autres termes, l'objectif était de catégoriser les signaux et les événements indiquant qu'un système ou une base de données avait été compromis.

L'un des principaux inconvénients de cette approche est qu'elle est essentiellement réactive : dès que vous repérez un IOC, l'attaque est déjà bien amorcée, voire terminée. En outre, étant donné la diversité des systèmes et des technologies vulnérables à la compromission, et le grand nombre d'indicateurs potentiels de la compromission d'un système, la tenue d'une base de données fiable relative aux IOC est irréalisable. Bien sûr, il est toujours aussi important de pouvoir détecter les IOC mais ce n'est plus l'objectif premier d'un système de cybersécurité moderne.

Le cadre ATT@CK, en revanche, fournit une liste relative aux actions ennemies bien plus facile à gérer. Et en se focalisant sur la détection des techniques et des tactiques, les systèmes de sécurité ont plus de chances de pouvoir identifier une attaque en cours avant que des dommages ne soient causés. Cela crée également un cadre pour évaluer et traiter les vulnérabilités d'une organisation à des techniques spécifiques avant toute attaque afin de réduire les risques.

Comment l'utiliser

Pour les professionnels de la sécurité informatique, MITRE ATT@CK est un outil puissant offrant plusieurs utilisations pratiques. Lors des exercices de simulation, il sert de guide afin de simuler des attaques spécifiques et de s'entraîner à y faire face. Pour l'audit de sécurité et l'évaluation des risques, il s'agit d'un cadre qui simplifie l'évaluation systématique des vulnérabilités de votre organisme vis-à-vis de tactiques et de techniques spécifiques.

Dans la mesure où il fournit une terminologie commune et clairement définie, il peut également lever toute ambiguïté lors des communications sur les vulnérabilités et les capacités de sécurité, par exemple entre les équipes de sécurité et les équipes DevOps, entre les équipes participant aux tests de pénétration et entre les acheteurs et les vendeurs de solutions de sécurité.

Chez Barracuda, MITRE ATT@CK est un outil essentiel à la planification et au développement de nouvelles capacités technologiques, ainsi que pour la conception de solutions efficaces répondant aux besoins spécifiques des clients. En outre, il nous aide à collaborer avec les clients afin d'acquérir une vision commune de la manière d'envisager et de hiérarchiser les risques et les vulnérabilités et de la manière de les traiter le plus efficacement possible.

Vidéo : plonger dans les dernières perspectives sur les menaces et les tendances dans la sécurité

Remonter en haut de page
Tweeter
Partager
Partager