Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

ThreatQuotient étend son intégration avec le Framework MITRE ATT&CK

mai 2019 par Patrick LEBRETON

ThreatQuotient™ étend l’intégration de ThreatQ™ avec MITRE ATT&CK™ aux matrices PRE-ATT&CK et Mobile. Composé de trois approches (PRE-ATT&CK, Enterprise et Mobile), le Framework MITRE ATT&CK crée une chaîne d’attaque de bout en bout qui examine et évalue les actions des cybercriminels. Depuis sa première intégration avec MITRE ATT&CK début 2018, ThreatQuotient aide ses clients à intégrer le Framework à leurs workflows pour leur offrir une vue globale des vecteurs d’attaque spécifiques à leur entreprise et des mesures à prendre pour lutter efficacement contre leurs adversaires.

Les attaques gagnent chaque jour en vélocité, et le coût moyen d’une violation de données s’élève aujourd’hui à 3,86 millions de dollars, si l’on en croit le rapport 2018 Cost of a Data Breach Study publié par l’Institut Ponemon. De plus en plus d’entreprises commencent à se résigner à l’idée qu’elles subiront un jour une attaque. C’est pourquoi le secteur de la cybersécurité met l’accent sur les technologies, outils et processus destinés à accélérer la détection et la réponse aux incidents. Toutefois, ce n’est pas toujours dans un esprit collaboratif. La combinaison de la plate-forme ThreatQ et du Framework MITRE ATT&CK, permet une large compréhension partagée entre les équipes et les technologies, pour réagir plus rapidement lorsqu’un événement de sécurité se produit.

ThreatQuotient est depuis longtemps convaincue que l’accélération des opérations de sécurité passe par une compréhension proactive et complète des acteurs, campagnes, et techniques, tactiques et procédures ciblant une entreprise.

Une entreprise peut tirer parti de l’intégration de ThreatQ avec MITRE ATT&CK de trois manières :

1. Référencement et enrichissement des données

Intégration des données du Framework dans ThreatQ pour rechercher des profils de cybercriminels et répondre à des questions telles que : Qui est le cybercriminel ? Quelles techniques et tactiques utilise-t-il ? Quelles mesures d’atténuation appliquer ? Les analystes de la sécurité peuvent se servir des données du Framework en tant que source de référence détaillée pour enrichir manuellement leur analyse des événements et des alertes, éclairer leurs investigations, et déterminer les meilleures actions à entreprendre selon la pertinence et les observations au sein de leur entreprise.

2. Réponse reposant sur des indicateurs ou des événements

Utilisation de ThreatQ pour corréler les données du Framework ATT&CK avec les incidents et indicateurs associés observés dans l’environnement de l’entreprise. Les analystes de la sécurité peuvent ensuite hiérarchiser les menaces de manière automatique en fonction de leur pertinence pour leur entreprise, et identifier les indicateurs de compromission (IOC) à haut risque afin de mener des investigations. L’exploitation simplifiée et automatisée des données ATT&CK permet aux équipes de sécurité d’enquêter sur les incidents, d’y répondre, et de prendre les moyens d’action appropriés pour une détection et une recherche plus efficaces des menaces.

3. Threat hunting proactif orienté tactiques ou techniques

Passer de la recherche d’indicateurs à l’exploitation de l’ensemble des données ATT&CK. Les équipes de détection des menaces peuvent adopter une approche proactive en commençant par le profil de risques de leur entreprise, en corrélant ces risques avec des attaquants et tactiques spécifiques, en recherchant les techniques utilisées par ces cybercriminels, puis en déterminant si des données correspondantes ont été identifiées dans leur environnement. Par exemple, si elles sont concernées par le groupe de hackers APT28, elles obtiendront des réponses rapides à des questions telles que : Quelles sont les techniques utilisées ? Ai-je remarqué des IOC potentiels ou des événements système associés dans mon entreprise ? Mes technologies de protection des endpoints sont-elles capables de détecter ces techniques ?




Voir les articles précédents

    

Voir les articles suivants