fr
fr en

Lutte contre les hackers : comment exploiter le cadre MITRE ATT&CK ?

08 avril 2020
Lutte contre les hackers : comment exploiter le cadre MITRE ATT&CK ?

Comment organiser la lutte contre les hackers ? Avec quelles méthodes, pour les entreprises et la société dans son ensemble ? Frédéric Merland, expert en cybersécurité, vous explique le cadre MITRE ATT&CK, pour bâtir une stratégie de cyberdéfense cohérente.

 

une base de données en cyberattaques

Dans un contexte policier, le modus operandi (mode opératoire) est la méthode utilisée par le criminel pour attaquer ses victimes, sa façon de les choisir et de les aborder. La signature, elle, est un acte compulsif, quelque chose que le criminel ne peut s'empêcher de faire, et qui est généralement inconscient. En hackingil en va de même : chaque pirate ou groupe de pirates possède des particularités qui peuvent permettre de les profiler.

Le cadre MITRE ATT&CK est une organisation à but non lucratif. Elle maintient une base complète de connaissances des tactiques et techniques de cyberattaque, recueillies à partir de l'observation réelle du comportement des pirates informatiques. Grâce à cette base de données interactive, les spécialistes de la cybersécurité disposent d’une approche qui leur permet de :

 
  • - penser comme un attaquant ;
    - prendre rapidement des décisions plus éclairées pour améliorer la posture défensive de sécurité globale d’une entreprise.
  •  

comment fonctionne le cadre mitre att&ck ? 

Le cadre MITRE ATT&CK utilise des matrices et une classification des objectifs, tactiques et techniques des hackers. Y sont listées toutes les techniques d’attaque pouvant impliquer des systèmes Windows, Mac, Linux, Cloud, des appareils mobiles et des systèmes de contrôle industriels.

 

Les matrices comprennent des échantillons de :

  • logiciels malveillants ;
  • - de procédures de détection et d'atténuation ;
  • - rapports de renseignements sur les menaces ; 
  • - présentations lors de conférences sur la sécurité ; 
    - et une variété d'autres sources publiques et privées de grande valeur.
 

Ce langage partagé permet aux spécialistes de communiquer clairement avec les autres membres de la communauté des cyberdéfenseurs.

 

tactiques, techniques et groupeS 

L’outil permet d’analyser les comportements des hackers selon trois entrées : tactiques, techniques et groupes.

1-    « La tactique » : elle représente les objectifs qu'un attaquant tente d'atteindre. Par exemple : l'exfiltration de données. Lorsque les pirates exfiltrent des données, ils les encapsulent et dissimulent leur présence. Ce travail de camouflage informatique peut impliquer l'utilisation de la compression ou du chiffrement, l'utilisation d'un protocole de communication différent, etc.

2-    
« Les techniques » : elles décrivent les différentes façons dont les hackers peuvent atteindre les sous-objectifs de leur tactique. 

La figure ci-dessous offre un aperçu des nombreuses tactiques et techniques utilisées par les hackers : 

 
 
 
 
 

À l'aide des matrices navigables en ligne de MITRE ATT&CK, les spécialistes de la cybersécurité peuvent effectuer des analyses approfondies de ces deux entrées, et recueillir des conseils pour la prévention, la détection et la réaction aux attaques.

 
 
 
 
 
 

3-    « Les groupes » : les bases de connaissances de MITRE ATT&CK contiennent également des informations de profils sur les groupes. En effet, la plupart des hackers s’en tiennent souvent aux mêmes tactiques, techniques, outils et approches qui leur apportent le succès. 

 

En cartographiant ces données de groupes avec une matrice MITRE ATT&CK, on peut se faire une idée :

  • -    de l'identité des hackers ;
    -      outils et tactiques déployés;
    -      de la menace que représentent ou non leurs motivations pour une organisation spécifique ;
    -      des étapes d'une cyberattaque, prochaines et probables.

     

La figure ci-dessous offre un aperçu de la fiche de profil d'un groupe :

 
 
 
 
 

La figure ci-dessous offre un aperçu de la cartographie possible d'une attaque :

 
 
 
 Mitre Att&ck : cartographie possible d'une attaque
 
 

Comment MITRE ATT&CK est-il utilisé par les experts en cybersécurité ?

En listant et en corrélant les contrôles de sécurité implémentés dans une organisation aux éléments contenus dans les matrices MITRE ATT&CK, les experts en cybersécurité peuvent répondre à des questions cruciales, comme :

- Quelles menaces devraient le plus inquiéter une organisation ?
- Quels contrôles de sécurité acquérir pour réduire les risques ? 

  • Ainsi, les experts peuvent identifier les lacunes et évaluer la pertinence de chacune des défenses par rapport aux nombreuses tactiques et techniques des hackers. À partir de cette analyse, ils sont en mesure d’élaborer un plan d’actions cohérent, qu’ils communiquent ensuite à la Direction. Ils peuvent donc agir pour améliorer la posture défensive globale de l’entreprise.

Enfin, les experts peuvent aussi utiliser le cadre MITRE ATT&CK lors de :

 
  • -      tests de pénétration ;
    -      prises de renseignements sur les menaces ;
    -      évaluation de fournisseurs ;
    -      simulation de brèches et d'attaques.



conclusion

MITRE ATT&CK est un outil très puissant pour comprendre et classifier les tactiques, techniques et procédures des hackers. Les équipes de cyberdéfense peuvent l’utiliser pour évaluer les risques, puis établir des priorités et combler les lacunes d’une stratégie de cyberdéfense.

MITRE ATT&CK n'est pas le seul cadre de cyber-sécurité. Il existe plusieurs autres cadres de sécurité importants, tels que la chaîne de cyberattaque de Lockheed Martin, ISO/IEC 270011, le cadre de cyber-sécurité du NIST2 et COBIT3.
 

Frédéric Merland
Cyber Security Expert
Head of Operational Excellence & PMO

 
 
 
 

Et vous, quelles mesures avez-vous prises ou comptez-vous prendre pour concevoir une stratégie globale et cohérente des contrôles sécurité de votre entreprise ?

 



 

quelques-uns de nos partenaires