BillionPhotos.com - stock.adobe.

Att&ck, ce framework incontournable pour analyser les attaques

Après des années de maturation, ce framework bénéfice aujourd’hui d’une adoption qui apparaît promise à une véritable universalité. Quelles sont les forces qui expliquent cet engouement ?

Le framework Att&ck du Mitre est devenu omniprésent. La plateforme de gestion et de partage de renseignements sur les menaces MISP l’intègre depuis l’été 2017. Awake Security le met également à profit, tout comme Crowdstrike, McAfee avec Mvision EDR, Anomali, Cybereason, ou encore Kaspersky EDB dans sa toute dernière version, pour ne mentionner que quelques exemples.

En fin d’année dernière, Digital Guardian rappelait l’historique du framework dans ses grandes lignes : « le Mitre, une organisation à but non lucratif qui accompagne plusieurs administrations américaines, a commencé à développer Att&ck en 2013. Le framework, dont l’acronyme signifie Adversarial Tactics, Techniques and Common Knowledge, a été officiellement dévoilé en mai 2015, mais a fait l’objet de nombreuses mises à jour, généralement trimestrielles, depuis lors ».

Et Anomali de préciser en indiquant que ce framework vise à fournir un moyen « de décrire et classer les comportements d’adversaires sur la base d’observations concrètes ». Ainsi, Att&ck constitue « une liste structurée de comportements d’attaquants connus qui ont été classés en tactiques et techniques et présentés sous la forme d’une poignée de matrices ».

Pour les équipes de Sekoia, Att&ck « est un point de départ qui peut aider à structurer une démarche de renseignement sur les menaces en termes de capitalisation, d’analyse et de compréhension des modes opératoires attaquants, mais également en matière de détection et d’évaluation de ses propres défenses ». Et c’est ainsi que le Mitre prépare une seconde campagne d’évaluation des outils de détection et de remédiation sur les serveurs et postes de travail (EDR) face à son framework.

Tout naturellement, ThreatQuotient joue aussi la carte de l’intégration avec Att&ck. Yann Le Borgne, son directeur technique Europe, insiste avant tout pour lever tout risque de confusion, faite souvent selon lui, entre le framework à proprement parler, et les données qui ont pu être plaquées dessus par les analystes du Mitre sur les groupes de cyber-délinquants connus, les adversaires.

Les deux présentent pour lui une valeur certaine, mais pour le framework en lui-même, celle-ci tient surtout à la « capacité à structurer les processus de gestion du renseignement sur les menaces et de la réponse, notamment ». Tant que pour les données sur les adversaires, il faut aller chercher du côté de « l’entraînement de la blue team, de l’enrichissement de l’information, de chasse aux menaces, etc. ».

Mais pour Yann Le Borgne, l’essentiel est à chercher du côté de la structuration des processus, et « lier différentes équipes entre elles ». Et d’illustrer son propos en prenant l’exemple d’une équipe à laquelle il serait demandé de catégoriser les incidents détectés et les informations associées par rapport au framework Att&ck : « pourquoi faire cela ? Parce que cela permet d’accélérer le travail des équipes de gestion du renseignement sur les menaces pour établir des liens entre ce qui a été observé dans l’environnement et d’autres éléments reçus d’ailleurs. Et ensuite de reboucler avec les équipes de prévention et de détection pour qu’elles puissent déployer de nouvelles règles ». Ou bien d'aider à calibrer efficacement ses défenses et ses capacités de détection en fonction de ses risques et des vecteurs d'attaque associés les plus redoutés, par exemple.

« Le but ultime d’un framework est de combler les vides entre différents silos au sein de la sécurité. »
Yann Le BorgneDirecteur technique Europe, ThreatQuotient

Le directeur technique Europe de ThreatQuotient résume ainsi les mérites d’Att&ck : « créer un langage transverse entre les différentes équipes, pour fluidifier l’échange d’informations. Le but ultime d’un framework est de combler les vides entre différents silos au sein de la sécurité. Et celui-là est compliqué, certes, mais présente une couverture suffisamment large pour être efficace avec toutes ces équipes ».

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close