5 cas d’usage du framework Mitre ATT&CK

Qu’est-ce que le framework Mitre ATT&CK ?

Créé en 2013, le framework ATT&CK – abréviation de Adversarial Tactics, Techniques and Common Knowledge (tactiques, techniques adverses et connaissances communes) – définit les objectifs et les méthodes des adversaires pour contourner les contrôles de sécurité des systèmes d’information. Il se concentre sur les quatre principaux défis suivants :

• Comportements adverses.
• Modèles de cycle de vie obsolètes et désynchronisés.
• Pertinence par rapport aux environnements de production réels.
• Taxonomie normalisée.

Au fil des ans, le framework a évolué au fur et à mesure que les organisations et le paysage des menaces innovaient et s’intensifiaient.

Le Mitre propose désormais des conseils sur la manière de répondre aux différentes tactiques et techniques de cyberattaque, ainsi que sur l’utilisation de son framework. Mitre ATT&CK montre également comment émuler des scénarios d’attaque et effectuer une analyse des lacunes, afin d’évaluer avec précision les vulnérabilités et la maturité des centres d’opérations de sécurité (SOC).

Cas d’utilisation de Mitre ATT&CK

Les équipes de sécurité qui commencent à utiliser le framework devraient prendre en compte les cinq cas d’utilisation clés suivants.

1. Red teaming

Le red teaming est une technique de cybersécurité dans laquelle des équipes offensives – dites rouges – testent les postures de sécurité des organisations en les attaquant. Les red teams sont des agresseurs qui simulent des attaquants à la recherche de vulnérabilités dans l’infrastructure, les pratiques et les processus de sécurité. Les équipes de sécurité devraient procéder à des évaluations en red team sans disposer au préalable d’informations sur l’infrastructure de l’entreprise ciblée.

L’exercice de red teaming associé au cadre Mitre ATT&CK recouvre les objectifs suivants :

• Identifier les vulnérabilités non détectées.
• Évaluer si les défenses actuelles fonctionnent comme prévu.
• Trouver des sources d’attaque non conventionnelles.
• Découvrir des stratégies de cybersécurité négligées.

2. Contrôles de maturité du SOC

Les analystes SOC sont essentiels pour discerner les anomalies inoffensives des menaces sérieuses. Pour ce faire, ils doivent analyser et corréler des données provenant de sources multiples, ce qui demande du temps et des efforts. Si un SOC n’est pas en mesure d’identifier les incidents de sécurité et d’y répondre rapidement, les attaquants peuvent facilement accéder aux ressources de l’entreprise.

Le framework Mitre ATT&CK peut aider à évaluer si les pratiques et les technologies SOC sont suffisantes pour protéger une entreprise contre les attaques. Les équipes SOC peuvent effectuer des tests par rapport aux techniques décrites dans le framework, afin de déterminer les pratiques et les processus de leur organisation, pour détecter les menaces potentielles et les comportements suspects et créer des alertes. Les équipes de sécurité peuvent ensuite utiliser ces informations pour renforcer leur maturité en matière de sécurité.

3. Menaces internes

Une menace interne est un risque trouvant son origine auprès d’un employé, un partenaire, un fournisseur ou toute autre personne autorisée à interagir avec des informations sensibles ou de grande valeur. Les incidents liés aux menaces internes, qu’ils soient malveillants ou accidentels, peuvent entraîner des fuites de données ou des vols de ressources.

Bien que le framework ATT&CK de Mitre se concentre principalement sur les attaques externes, il fournit également des stratégies pertinentes pour les attaques internes. Il décrit notamment les sources de données qui permettent d’identifier les attaques et de déterminer si l’acteur de la menace est interne ou externe. Par exemple, le framework recommande aux équipes de sécurité d’utiliser les journaux d’authentification des applications pour retracer les attaques internes, car ces journaux se concentrent sur l’identité de l’utilisateur, alors que l’utilisation d’autres outils, tels que les données provenant des outils de détection et de réponse des points finaux, pourrait se concentrer davantage sur l’appareil.

4. Test d’intrusion

Les tests d’intrusion impliquent que des équipes de sécurité ou des tiers essaient délibérément – et avec autorisation – de s’introduire dans des systèmes et des appareils pour en découvrir les vulnérabilités. C’est un moyen efficace de découvrir les failles dans les défenses d’une organisation.

Le framework ATT&CK aide les organisations à s’assurer que les contrôles de sécurité sont suffisants pour se protéger contre les tactiques et techniques des acteurs de la menace. Les équipes de sécurité peuvent également l’utiliser après un test d’intrusion pour remédier aux vulnérabilités découvertes, tout en s’assurant qu’elles n’engendrent pas d’autres problèmes, tels qu’une mauvaise configuration d’appareil.

5. Simulation de brèche et d’attaque

Les équipes de sécurité utilisent des outils de simulation d’intrusion et d’attaque (BAS, pour Breach and Attack Simulation) pour automatiser des attaques à grande échelle contre leur infrastructure et déterminer l’efficacité de leurs défenses. Les exercices BAS révèlent les vulnérabilités et aident les équipes de sécurité à remédier à leurs stratégies de sécurité de manière efficace et efficiente. Les simulations aident également les équipes à renforcer leur infrastructure de sécurité et à améliorer la détection et la réponse aux menaces.

Le site web du Mitre répertorie les principales organisations d’acteurs de la menace et les types d’entreprises et de gouvernements qu’elles ciblent. Les équipes de sécurité peuvent utiliser ces informations pour simuler les méthodes d’attaque privilégiées par ces acteurs malveillants. Certains fournisseurs proposent des outils BAS qui correspondent spécifiquement au framework ATT&CK de Mitre.