Seela

logo seela

Attaques - Exemples types MITRE ATT&ACK

01. Introduction

Ce module est la présentation de la base de connaissance MITRE ATT&CK (Adversarial Tactics, Techniques, & Common Knowledge) accessible à l’échelle mondiale sur les tactiques et techniques des attaquants cyber, basée sur des observations réelles.

Par rapport aux autres modèles de menaces favorisant l’étude d’indicateurs statiques comme Kill Chain, Diamond Model, STRIDE, P.A.S.T.A (Process for Attack Simulation and Threat Analysis), TRIKE, ISO/CEI 27005…, MITRE ATT&CK est un “attack model” centré sur l’étape post-intrusion et sur le comportement dynamique de l’attaquant.

02. MITRE ATT&CK

MITRE (Massachusetts Institute of Technology Research & Engineering) a lancé ATT&CK en 2013.

MITRE ATT&CK (https://attack.mitre.org/) est constitué d’un wiki, d’une base de connaissance comportant des noms d’attaquants et de groupes d’attaquants, de campagnes et de logiciels malveillants ainsi que les tactiques, techniques et procédures (TTP – Tactics, Techniques and Procedures) des attaquants informatique

Barre de recherche attack

3 domaines de classification ou matrices existent dans cette base de connaissance :

  • ATT&CK for Enterprise,
  • ATT&CK for Mobile,
  • ATT&CK ICS (Industrial Control Systems).

La mise à jour de la base de connaissance est trimestrielle.

03. TTPs - Tactics, Techniques and Procedures

La tactique représente le “pourquoi” d’une technique ATT&CK. C’est l’objectif de la tactique suivie par l’attaquant : la raison d’être d’une action.

Les techniques représentent “comment” un attaquant atteint un objectif tactique en effectuant une action. Par exemple, un attaquant peut copier des informations d’identification pour obtenir des accès.

Les procédures décrivent la façon dont un attaquant ou un logiciel particulier met en œuvre une technique. Elles fournissent un ensemble de classifications permettant d’identifier les différentes phases d’une attaque, ainsi que les techniques utilisées pour chaque phase. Ces procédures sont formalisées dans la matrice ATT&CK pour les 3 domaines existants.

Ainsi, TTP permet d’identifier les outils (malwares ou des logiciels plus communs, mais utilisés illégitimement, par exemple), les techniques, voire les erreurs commises par des attaquants pour mener leurs cyberattaques. Ces éléments peuvent être très discriminants et peuvent ainsi permettre de caractériser et d’attribuer des campagnes d’attaques à un groupe précis.

Chaque groupe est nommé par un nom commun attribué par la communauté de la sécurité.

Les groupes identifiés sont listés (menu Groups) avec un certain détail (utilisation des techniques rapportées publiquement, logiciels utilisés (lien avec le menu Software)) et les groupes connexes sont aussi répertoriés. Certains groupes ont plusieurs noms associés à des activités similaires (comme groupes de menaces, groupes d’activités, acteurs de la menace, ensembles d’intrusions et campagnes), car diverses organisations suivent des activités similaires sous des noms différents.

Le menu Data Sources représentent les différents sujets/thèmes d’information qui peuvent être collectés par les capteurs/logs associés à une technique ou une sous-technique.

Le menu Mitigations donnent des parades qui peuvent être utilisées afin de faire échouer une technique ou une sous-technique.

04. Genèse de MITRE ATT&CK

MITRE ATT&CK a été créé à partir d’un besoin de documentation du comportement des attaquants pour être utilisé dans le cadre d’un projet de recherche du MITRE baptisé FMX (Fort Meade eXperiment).

L’objectif du FMX était d’étudier l’utilisation des données de télémétrie et d’analyse des points terminaux pour améliorer la détection post-compromission des adversaires opérant dans les réseaux d’entreprise.

ATT&CK a été utilisé comme base pour tester l’efficacité des capteurs et des analyses sous FMX et a servi de langage commun à l’attaque et à la défense pour s’améliorer au fil du temps

05. Objectifs

Avec MITRE ATT&CK on cartographie et on essaie de comprendre le détail des actions entreprises par l’attaquant une fois qu’il s’est introduit dans le système d’information.

C’est la succession d’actions, et les traces qu’elles laissent, les erreurs commises, qui vont constituer un tout, un profil, une empreinte de techniques caractérisant une attaque, et un mode opératoire spécifique.

La base de référence du MITRE ATT&CK est accessible depuis le site projet (https://attack.mitre.org) mais aussi depuis le dépôt GitHub : https://github.com/mitre/cti. Ce référentiel contient les jeux de données MITRE ATT&CK et CAPEC (Common Attack Pattern Enumerations and Classifications) exprimés en STIX (Structured Threat Information Expression) 2.0.

Une documentation d’utilisation pour interagir avec ce référentiel est disponible sous https://oasis-open.github.io/cti-documentation/.

06. Vocabulaire

TAXII (Trusted Automated Exchange of Intelligence Information) est un protocole applicatif qui permet de communiquer des informations sur les cybermenaces, sous forme d’API. TAXII est spécialement conçu pour faciliter l’échange de Threat Intelligence au format STIX.

STIX (Structured Threat Information eXpression) est un langage et un format de données permettant de décrire des cybermenaces. STIX permet aux organisations de partager de la Threat Intelligence de manière cohérente et lisible.

Source : https://oasis-open.github.io/cti-documentation/stix/intro

Sommaire

Leçon suivante