Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Mitre Att&ck : pour une parfaite connaissance des techniques et tactiques utilisées par les attaquants

février 2021 par Yann Le Borgne - Directeur technique Europe ThreatQuotient

Le framework MITRE ATT&CK trouve sa place dans un nombre croissant d’activités de cybersécurité, notamment pour identifier les cybercriminels, leurs techniques et leurs comportements. Les entreprises ont besoin d’une base de connaissances leur permettant de savoir très tôt à qui elles ont affaire. Basées sur l’observation des incidents de sécurité rencontrés par d’autres entreprises, les informations sur les actions des futurs attaquants sont bénéfiques à l’ensemble des entreprises.

Renseignement sur les menaces : consommateur ou producteur ?

La cartographie des informations sur les menaces est l’une des principales activités auxquelles les équipes en charge de la sécurité informatique doivent se consacrer. Il existe deux façons d’utiliser ces données dans le cadre du renseignement sur les menaces : en tant que consommateur ou producteur. Être un consommateur des données, c’est s’appuyer sur les informations existantes pour prendre de meilleures décisions. La seconde méthode consiste quant à elle à exploiter ces informations et à en produire d’autres. Les services de sécurité dotés des compétences et des capacités requises doivent adopter cette approche, et ce, à l’échelle internationale.

En tant que « consommatrice », l’entreprise commence par restreindre le champ des menaces à des groupes spécifiques de cybercriminels ou d’acteurs malveillants susceptibles de s’intéresser à ses données, ses actifs ou ses ressources. Pour réduire la liste des menaces, elle doit rechercher les précédentes attaques perpétrées à l’encontre d’entreprises similaires à la sienne et les groupes soupçonnés d’en être les auteurs. Une fois les groupes pertinents identifiés, le service de sécurité peut exploiter un ensemble de données afin de visualiser les tactiques, techniques et procédures (TTP) qu’ils emploient. Il y a de fortes chances que certaines techniques se recoupent, même si ce n’est pas toujours le cas. Après avoir examiné les TTP communes aux groupes identifiés, les parties prenantes peuvent commencer à établir une liste hiérarchisée des capacités de détection et de prévention dont doit disposer l’équipe chargée des opérations de sécurité.

Il est par ailleurs conseillé de produire des renseignements supplémentaires sur les menaces en plus de celles qui existent déjà. Cette opération consiste principalement à créer ses propres renseignements et à les ajouter à l’ensemble de données. Pour cela, l’entreprise doit fournir aux analystes le temps et la formation nécessaires pour analyser les rapports de réponse aux incidents disponibles (propriétaires, Open Source, internes et externes), en extraire des données et les corréler avec les indicateurs ATT&CK. Dans la pratique, cela signifie passer en revue les rapports ligne par ligne, mettre en évidence les outils, techniques, tactiques et noms des groupes, et extraire des données afin de compléter les informations que l’équipe possède déjà sur les adversaires présumés. Les concepteurs du MITRE développent actuellement un nouvel outil, Threat Report Attacks Mapper (TRAM), dont l’objectif est d’aider les analystes à automatiser en partie ce processus. Ces informations supplémentaires devraient améliorer la prise de décision, car l’analyse des TTP des attaquants passe à travers le « filtre contextuel » de l’entreprise.

Établir des priorités

Alors que l’utilisation de la matrice ATT&CK pour la cartographie des renseignements sur les cybermenaces se concentre sur les menaces externes, l’étape suivante consiste à se concentrer sur les étapes indispensables à mener en interne.

Tout d’abord, chaque technique doit être analysée par rapport aux informations nécessaires aux équipes de sécurité afin d’identifier, de détecter et de contenir celles-ci. Extraire ces informations est un excellent moyen pour les équipes de sécurité de mieux comprendre leur propre capacité à se défendre et à établir des priorités. La première étape consiste à extraire de manière programmatique les informations de type “data source” (source de données/logs nécessaires pour la détection d’une technique d’attaque particulière). Une fois ces sources de données connues, il faut recenser celles qui font potentiellement parties des sources nécessaires pour détecter des techniques d’attaques mais qui ne sont pas encore collectées par les équipes de sécurité afin d’identifier les zones d’ombre dans la couverture et la visibilité des équipes de sécurité opérationnelles. Par exemple, si le renseignement sur les menaces indique qu’un groupe de criminel utilise une certaine technique d’attaque comme cibler les “scheduled tasks”, les experts sécurité peuvent déterminer s’ils sont en mesure de détecter cette technique. Il leur suffit pour cela de valider qu’ils collectent et analysent les “data sources” en lien avec cette technique

Pallier au manque de connaissances

Si aucune de ces “data source” n’est accessible aux équipes, ou si elles sont uniquement disponibles sur certains équipements informatiques, la priorité est de remédier à ce problème. Peu importe que ces nouvelles sources d’information soient recueillies par les mécanismes de journalisation intégrés au système d’exploitation ou via l’ajout de nouveaux outils de sécurité (surveillance du réseau, détection et réponse aux incidents réseau [NDR], détection/prévention des intrusions [IDS/IPS] basée sur l’hôte, détection et réponse aux incidents au niveau des terminaux [EDR], etc.). L’essentiel est que les informations manquantes les plus importantes soient identifiées. La communication claire de ces informations justifie les efforts supplémentaires et les coûts potentiels liés à la mise en œuvre de collecte de logs supplémentaires.

Si la collecte source de données nécessaires à la détection des techniques d’attaques des adversaires clefs constitue déjà un pas important, il ne s’agit que de la première étape du processus. Une fois les données recueillies et transférées vers une mémoire centralisée des menaces, il convient de trouver un outil d’analyse adapté. Le but est que l’entreprise soit avertie chaque fois qu’un attaquant utilise une technique. Le MITRE facilite cette étape pour de nombreuses techniques de piratage grâce à son référentiel Cyber Analytics Repository (CAR) prédéfini, et fournit même des options d’analyse Open Source telles que BZAR, un projet composé de différents scripts Zeek/Bro capables de détecter certaines techniques ATT&CK.

Evaluation des capacités de défense potentielles

Les renseignements collectés permettent aux équipes en charge de la sécurité de hiérarchiser les groupes de cybercriminels et techniques susceptibles de cibler leur entreprise. Ils peuvent aussi compléter ces informations avec leurs propres données internes. Ils bénéficient ainsi d’une parfaite connaissance des techniques et tactiques utilisées par les attaquants et dont ils risquent de se servir contre leur entreprise. Une fois le niveau de menace évalué, les experts en sécurité peuvent exploiter les informations des sources de Cyber Threat Intelligence pour se faire une idée de leurs capacités de défense potentielles. S’il leur manque des données clés, ils doivent travailler ensemble à leur collecte et mettre en place des outils d’analyse de ces techniques. Des outils tels qu’ATT&CK Navigator facilitent la visualisation des exigences. Les logiciels et appareils de sécurité disponibles en Open Source ou auprès d’autres fournisseurs accélèrent la comparaison des données requises par rapport à celles qu’ils recueillent et analysent. La dernière étape consiste à tester et à revoir en permanence le framework MITRE ATT&CK, lequel est enrichi avec les informations de renseignement sur les menaces.




Voir les articles précédents

    

Voir les articles suivants