En quoi consiste le cadre MITRE ATT&CK et quelle est son utilité ?

En quoi consiste le cadre MITRE ATT&CK et quelle est son utilité ?

En quoi consiste le cadre MITRE ATT&CK™ ?

MITRE a mis en place le cadre ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) en 2013 afin de décrire et de répertorier les comportements adverses en fonction des observations réelles. ATT&CK est une liste structurée de comportements connus des pirates qui ont été compilés en tactiques et techniques et exprimés dans quelques matrices ainsi que via STIX/TAXII. Comme cette liste constitue une représentation relativement exhaustive des comportements adoptés par les pirates lorsqu'ils attaquent des réseaux, elle est utile pour toute une série de mesures offensives et défensives, de représentations et d'autres mécanismes.

Compréhension des matrices ATT&CK

MITRE a ventilé ATT&CK en plusieurs matrices différentes : Enterprise, Mobile, et PRE-ATT&CK. Chacune de ces matrices contient diverses tactiques et techniques associées à son objet.

La matrice Entreprise est constituée de techniques et de tactiques qui s'appliquent aux systèmes Windows, Linux et/ou MacOS. La matrice Mobile contient des tactiques et des techniques qui s'appliquent aux appareils mobiles. La matrice PRE-ATT&CK contient des tactiques et des techniques relatives aux actions menées par les pirates avant de tenter d'exploiter un réseau ou un système cible particulier.

Détails pratiques sur ATT&CK : tactiques et techniques

Lorsque l'on regarde ATT&CK sous la forme d'une matrice, les titres des colonnes en haut sont des tactiques et sont essentiellement des catégories de techniques. Les tactiques correspondent à ce que les pirates essaient d'accomplir, tandis que les techniques individuelles correspondent à la façon dont ils franchissent ces étapes ou atteignent ces objectifs.

ATT&CK Enterprise Matrix
Matrice ATT&CK Entreprise de https://attack.mitre.org/matrices/enterprise/

Par exemple, l'une des tactiques est le mouvement latéral. Pour qu'un pirate puisse effectuer un mouvement latéral dans un réseau, il doit utiliser une ou plusieurs des techniques énumérées dans la colonne Mouvement latéral de la matrice ATT&CK.

Une technique est un comportement spécifique visant à atteindre un objectif. Elle constitue souvent une étape unique dans une série d'activités utilisées pour mener à bien la mission globale du pirate. ATT&CK fournit de nombreux détails sur chaque technique, notamment une description, des exemples, des références et des conseils en matière d'atténuation et de détection.

Technique description in MITRE ATT&CK
Exemple de description d'une technique dans MITRE ATT&CK

Pour illustrer la façon dont les tactiques et les techniques fonctionnent dans ATT&CK, un pirate peut souhaiter accéder à un réseau et installer un logiciel de minage de cryptomonnaies sur un maximum de systèmes à l'intérieur de ce réseau. Afin d'atteindre cet objectif global, les pirates doivent franchir plusieurs étapes intermédiaires. Premièrement, ils doivent accéder au réseau, éventuellement via un Lien de harponnage. Ensuite, ils peuvent avoir besoin de renforcer les privilèges par injection de processus. Ils peuvent maintenant obtenir d'autres informations d'identification du système en utilisant le vidage des informations d'identification, puis déterminer la persistance en paramétrant le script d'extraction de manière à l'exécuter sous forme de tâche planifiée.Une fois ces opérations effectuées, les pirates peuvent se déplacer latéralement au sein du réseau avec les techniques Pass the Hash et déployer leur logiciel de minage sur un maximum de systèmes.

Dans cet exemple, les pirates ont dû réaliser cinq étapes, chacune correspondant à une tactique spécifique ou à une étape de leur attaque globale : accès initial, élévation des privilèges, accès aux informations d'identification, persistance, et mouvement latéral. Ils ont utilisé des techniques spécifiques dans le cadre de ces tactiques afin d'accomplir chacune des étapes de l'attaque (lien de harponnage, injection de processus, vidage d'informations d'identification, etc.)

Les différences entre PRE-ATT&CK et ATT&CK Entreprise

PRE-ATT&CK et ATT&CK Entreprise se combinent pour former la liste complète des tactiques qui correspondent globalement à la Cyber Kill Chain. PRE-ATT&CK correspond essentiellement aux trois premières phases de la Cyber Kill Chain : reconnaissance, militarisation et livraison. ATT&CK Entreprise correspond bien aux quatre dernières phases de la Cyber Kill Chain : exploitation, installation, commandement et contrôle, et mesures pour atteindre les objectifs.

Cyber Kill Chain

Tactiques PRE-ATT&CKTactiques ATT&CK Enterprise
  • Définition des priorités
  • Sélection des cibles
  • Collecte de renseignements
  • Identification des faiblesses
  • Sécurité des opérations adverses
  • Mise en place et maintenance de l'infrastructure
  • Élaboration des profils
  • Renforcement des capacités
  • Capacités de test
  • Capacités d'intervention
  • Accès initial
  • Exécution
  • Persistance
  • Élévation des privilèges
  • Évasion défensive
  • Accès aux informations d'identification
  • Recherche
  • Mouvement latéral
  • Collecte
  • Exfiltration
  • Commande et contrôle

Actions possibles avec ATT&CK

ATT&CK est utile dans différentes situations quotidiennes. Toutes les mesures préventives faisant référence aux pirates et à leurs comportements peuvent profiter de l'application de la taxonomie d'ATT&CK. Outre le lexique commun des cyberdéfenseurs, ATT&CK fournit une base pour les tests d'intrusion et la méthode de l'équipe rouge. Les défenseurs et les coéquipiers rouges disposent ainsi d'un langage commun lorsqu'ils font référence à des comportements hostiles.

Voici quelques exemples dans lesquels l'application de la taxonomie d'ATT&CK peut s'avérer utile :

  • Cartographie des contrôles défensifs
    • Les contrôles défensifs peuvent avoir une signification bien claire lorsqu'on les compare aux tactiques et techniques ATT&CK auxquelles ils s'appliquent.
  • Chasse aux menaces
    • La cartographie des défenses ATT&CK permet d'établir une feuille de route des lacunes défensives qui indiquent aux chasseurs de menaces les meilleurs endroits pour trouver les attaques manquées.
  • Détections et enquêtes
    • Le Centre des opérations de sécurité (SOC) et l'équipe d'intervention en cas d'incident peuvent référencer les techniques et tactiques ATT&CK qui ont été détectées ou découvertes. Cela permet de comprendre où se situent les forces et les faiblesses défensives et de valider les contrôles d'atténuation et de détection, ainsi que de déceler les mauvaises configurations et autres problèmes opérationnels.
  • Référencement des acteurs
    • Les acteurs et les groupes peuvent être associés à des comportements spécifiques et définissables.
  • Intégrations d'outils
    • Des outils et des services hétérogènes peuvent normaliser les tactiques et les techniques ATT&CK afin de conférer à une défense une cohérence qui fait souvent défaut.
  • Partage
    • Lorsqu'ils partagent des informations sur une attaque, un agent, un groupe ou des contrôles défensifs, les défenseurs peuvent s'assurer d'une compréhension commune en utilisant les techniques et tactiques ATT&CK.
  • Méthode de l'équipe rouge / test d'intrusion
    • La planification, l'exécution et le compte-rendu des activités de l'équipe rouge, de l'équipe violette et des tests d'intrusion peuvent utiliser ATT&CK afin d'utiliser un langage commun avec les défenseurs et les destinataires des rapports, ainsi qu'entre eux.

Utiliser ATT&CK pour cartographier les défenses et comprendre les lacunes

Lorsqu'elles examinent MITRE ATT&CK, la plupart des équipes de sécurité sont naturellement enclines à essayer de mettre au point une sorte de contrôle de détection ou de prévention pour chaque technique de la matrice d'entreprise. Bien qu'il ne s'agisse pas d'une mauvaise idée, les nuances d'ATT&CK rendent cette démarche un peu risquée si l'on ne tient pas compte de certaines mises en garde. Les techniques des matrices ATT&CK peuvent souvent être réalisées de différentes manières. Ainsi, le fait de bloquer ou de détecter un seul mode d'exécution ne signifie pas nécessairement que tous les modes d'exécution possibles de cette technique sont couverts. Il peut en résulter une illusion de sécurité laissant croire qu'une technique est correctement prise en charge par l'organisation puisqu'un outil en bloque une forme d'utilisation. Pourtant, les pirates peuvent toujours recourir à d'autres méthodes pour utiliser cette technique sans qu'aucune détection ou prévention n'ait été mise en place.

Voici comment résoudre ce problème :

  • Toujours supposer qu'il existe plusieurs façons de réaliser une technique ATT&CK
  • Rechercher et tester les méthodes connues de mise en œuvre de techniques spécifiques et mesurer l'efficacité des outils et la visibilité en place
  • Consigner avec soin les résultats des tests afin de montrer les lacunes de cette technique et les moyens de l'utiliser pouvant être évités ou détectés
  • Noter les outils qui s'avèrent efficaces pour des détections spécifiques et noter les lacunes en l'absence de toute couverture
  • Se tenir au courant des nouvelles façons d'appliquer les techniques et veiller à les tester dans l'environnement afin de mesurer la couverture

Par exemple, si l'antivirus détecte la présence de Mimikatz, cela ne veut pas dire que les techniques Pass the Hash (T1075) et Pass the Ticket (T1097) sont couvertes, car il existe encore plusieurs autres façons de les exécuter sans recourir à Mimikatz. Garder ces éléments à l'esprit au moment d'utiliser ATT&CK pour mettre en place une couverture défensive au sein d'une organisation.

Utilisation d'ATT&CK avec les renseignements sur les cybermenaces

ATT&CK peut s'avérer utile pour les renseignements sur les cybermenaces, car il permet de normaliser la description des comportements hostiles. Il est possible de suivre les agents en les associant aux techniques et tactiques d'ATT&CK dont on sait qu'ils les utilisent. Les défenseurs disposent ainsi d'une feuille de route à comparer à leurs contrôles opérationnels afin de déterminer leurs points forts et leurs points faibles par rapport à certains agents. Un bon moyen de visualiser les forces et les faiblesses de l'environnement par rapport à des agents ou des groupes spécifiques consiste à leur créer des entrées dans le MITRE ATT&CK Navigator. ATT&CK est également disponible sous forme de flux STIX/TAXII 2.0, ce qui permet une intégration simple dans les outils existants qui prennent en charge ces technologies.

ATT&CK fournit des détails sur près de soixante-dix agents et groupes, notamment sur les techniques et les outils dont on sait qu'ils se servent en se fondant sur des rapports de source libre.

MITRE ATT&CK Group List
Liste du groupe MITRE ATT&CK

Le processus de création de renseignements lui-même peut tirer profit de l'utilisation du langage commun ATT&CK. Comme mentionné, cela peut s'appliquer aussi bien aux agents et aux groupes qu'aux comportements constatés dans le cadre du SOC ou des réactions aux incidents. Les logiciels malveillants peuvent également être répertoriés sous forme de comportements via ATT&CK. Tous les outils de renseignement sur les menaces qui prennent en charge ATT&CK contribuent à simplifier ce processus. Les renseignements commerciaux et de source libre qui appliquent ATT&CK à tous les comportements mentionnés permettent également de maintenir la cohérence d'ensemble. La diffusion de renseignements aux services opérationnels ou à la direction est finalement beaucoup plus simple lorsque tous les intervenants utilisent le même langage concernant les comportements hostiles. Si les services opérationnels savent exactement ce qu'est l'authentification forcée et la voient mentionnée dans un rapport de renseignements, ils peuvent savoir exactement quelles mesures doivent être prises ou quels contrôles sont déjà en place concernant cette information. Cette normalisation des références ATT&CK dans les produits de renseignement permet de renforcer considérablement l'efficacité et d'assurer une compréhension commune.

Simulation de confrontation et ATT&CK

La meilleure façon de procéder consiste à tester les techniques utilisées dans le cadre d'ATT&CK par rapport à l'environnement :

  • Les contrôles d'essai et leur efficacité
  • Assurer une protection contre les différentes techniques
  • Comprendre les lacunes en matière de visibilité ou de protection
  • Valider la configuration des outils et des systèmes
  • Montrer où les différents agents pourraient réussir ou être bloqués dans l'environnement
  • Éviter les hypothèses et les conjectures grâce aux contrôles en sachant exactement ce qui est détecté ou atténué et ce qui ne l'est pas

Le processus de simulation de confrontation est courant dans de nombreux environnements. L'emploi de testeurs d'intrusion pour évaluer l'environnement conduit les organisations à procéder à des tests de simulation de confrontation. Il en va de même pour les organisations disposant d'équipes rouges en interne ou effectuant des missions d'équipe violette. L'application des activités liées à ces engagements aux techniques ATT&CK permet une meilleure compréhension des résultats par les défenseurs. Au lieu de signaler les échecs de détection de certaines activités, les rapports des tests d'intrusion et des équipes rouges peuvent contenir un meilleur contexte permettant d'appliquer leurs activités directement aux contrôles opérationnels, aux outils de défense et aux procédures. Les défenseurs peuvent ainsi plus facilement prendre les mesures appropriées en fonction des rapports.

Les simulations peuvent être conçues de manière à reproduire les outils et les techniques dont on sait qu'ils sont également utilisés par des agents spécifiques. Cela peut être particulièrement utile lorsqu'il est question d'évaluer le succès de certains adversaires face aux contrôles présents dans l'environnement.

En outre, il existe des outils qui prévoient des mécanismes permettant de tester certaines techniques directement dans l'environnement et qui sont déjà conformes à ATT&CK. Des outils commerciaux tels que Verodin, SafeBreach et AttackIQ permettent d'effectuer des simulations de confrontation conformes à ATT&CK. Certaines options à source libre permettent d'effectuer des simulations de confrontation et de se conformer à ATT&CK (voir liste ci-dessous). Comme toujours, il convient d'être prudent au moment d'effectuer des simulations de confrontation sur des réseaux de production dont la portée des ramifications potentielles n'est pas entièrement comprise.

Ces outils sont simples d'utilisation :

  1. Simuler : choisir des critères de simulation en fonction des tests souhaités, puis exécuter l'outil ou appliquer la technique manuellement
  2. Rechercher : examiner les journaux et les résultats des outils afin de trouver des données probantes concernant l'activité simulée ; noter les attentes non satisfaites à l'aide de contrôles de détection ou de prévention
  3. Détecter : ajouter de nouvelles détections ou atténuations en fonction des résultats ; noter également les lacunes en matière de visibilité et les outils utilisés pour la détection ou l'atténuation

Meilleures pratiques en matière d'utilisation d'ATT&CK

Voici une liste des meilleures pratiques concernant ATT&CK.

  • Partager les méthodes trouvées de détection et d'atténuation
  • Partager les tactiques et les techniques observées dans les comportements des pirates
  • Exploiter l'intégration d'ATT&CK dans les outils existants
  • Encourager les fournisseurs et les prestataires de services à apporter leur soutien à ATT&CK lorsque cela s'avère utile

Problèmes liés à l'utilisation d'ATT&CK

L'utilisation d'ATT&CK ne va pas sans difficultés. Il est bon de garder ces éléments à l'esprit lorsque l'on utilise ATT&CK.

  • Certaines techniques comportent de nombreuses méthodes d'exécution possibles
  • Certaines techniques sont répertoriées dans la rubrique « Tactiques multiples »
    • Exemple : Détournement d'un ordre de recherche DLL (T1038)
    • Se présente dans les tactiques de persistance, d'élévation des privilèges et d'évasion défensive.
    • Certaines techniques, telles que celle-ci, peuvent être utilisées pour des cas à usage multiple et sont utiles à plusieurs étapes de l'attaque.

Outils et ressources ATT&CK

Voici une liste d'outils et d'autres ressources qui utilisent ATT&CK. Certains d'entre eux ont été mentionnés précédemment. Ils sont présentés ici afin d'en faciliter la consultation. Si vous souhaitez faire ajouter un élément à cette liste, envoyez un e-mail à marketing@anomali.com.

Navigateur ATT&CK

Le navigateur ATT&CK est un excellent outil permettant de définir les contrôles à effectuer en fonction des techniques ATT&CK. Il est possible d'ajouter des couches qui montrent des contrôles de détection spécifiques, des contrôles préventifs ou même des comportements observés. Le navigateur peut être utilisé en ligne pour des maquettes ou des scénarios rapides. Il est également possible de le télécharger et de le configurer en interne comme solution plus permanente.

MITRE ATT&CK Navigator
Navigateur MITRE ATT&CK

Uber Metta

Metta est un projet de source libre d'Uber qui réalise des simulations de confrontation et est conforme à MITRE ATT&CK.

MITRE Caldera

Caldera est un outil automatisé et libre de simulation de confrontation qui repose sur MITRE ATT&CK.


Capture d'écran de MITRE Caldera

Red Canary Atomic Red Team

Atomic Red Team est un outil libre de Red Canary permettant de simuler des comportements hostiles cartographiés sur MITRE ATT&CK. Pour en savoir plus : https://atomicredteam.io/

Red Canary Atomic Red Team
Exemple de test Atomic Red Team

Endgame Red Team Automation

Red Team Automation est un outil libre de Endgame qui teste les comportements malveillants modélisés sur MITRE ATT&CK.


Liste actuelle des techniques prises en charge par Red Team Automation (RTA)

Fiche d'enregistrement ATT&CK Windows de Malware Archeology

Les spécialistes de Malware Archeology fournissent une série de fiches d'enregistrement de Windows pour aider les défenseurs à trouver des activités malveillantes dans les journaux. Ils en ont une consacrée à la recherche de techniques de MITRE ATT&CK.


Exemple de détails inclus dans la fiche d'enregistrement ATT&CK de Malware Archeology

MITRE Cyber Analytics Repository (CAR)

MITRE dispose d'une ressource CAR (Cyber Analytics Repository) qui constitue un site de référence pour diverses analyses utiles à la détection des comportements dans MITRE ATT&CK.

MITRE Cyber Analytics Repository (CAR)
MITRE Cyber Analytics Repository (CAR)

ATT&CK Tableau Table de Cyb3rPanda

Cyb3rPanda a chargé ATT&CK dans une instance publique de Tableau afin de faciliter le pivotement et le filtrage.

ATT&CK Tableau Table by Cyb3rPanda
Matrice ATT&CK Entreprise dans un tableau public de Cyb3rPanda

Visionneuse de Palo Alto Unit 42

Le groupe Unit 42 de Palo Alto a mis en ligne une visionneuse gratuite qui montre les comportements hostiles connus de quelques groupes pirates conformes à MITRE ATT&CK.

Palo Alto Unit 42 Playbook Viewer
Visionneuse de Palo Alto Unit 42

Anomali Cyber Watch

Le bulletin d'information hebdomadaire sur les menaces d'Anomali est un rapport hebdomadaire gratuit sur les principaux développements de la semaine en matière de sécurité et de menaces. Le rapport comprend les IOC et les techniques ATT&CK pertinentes de chaque cas traité dans le bulletin d'information.

Anomali Weekly Threat Briefing
Exemple de bulletin d'information hebdomadaire sur les menaces d'Anomali

Résumé

MITRE a apporté une contribution significative à la communauté de la sécurité en nous fournissant le cadre ATT&CK et ses outils et ressources connexes. Ils tombent à pic. Comme les pirates trouvent des moyens de gagner en furtivité et d'éviter la détection par les outils de sécurité traditionnels, les défenseurs se voient obligés de modifier leur approche en matière de détection et de défense. ATT&CK déplace notre perception des indicateurs de bas niveau comme les adresses IP et les noms de domaine et nous amène à envisager les pirates et nos défenses sous l'angle des comportements. Malgré cette nouvelle manière de voir les choses, les résultats ne s'obtiennent pas facilement. Les temps où il suffisait d'utiliser des listes de blocage et des filtres simples sont révolus. La détection et la prévention des comportements sont bien plus difficiles à réaliser que les anciens outils de type « tire et oublie ». En outre, les pirates s'adapteront certainement au gré des nouvelles fonctionnalités utilisées par les défenseurs. ATT&CK fournit un moyen de décrire les nouvelles techniques qu'ils développent et, espérons-le, de maintenir les défenseurs au niveau.

En savoir plus sur MITRE ATT&CK

Cyber Threat Intelligence Programs: What’s Needed to Keep Up? | ESG Research & Anomali eBook
eBook
Cyber Threat Intelligence Programs: What’s Needed to Keep Up? | ESG Research & Anomali eBook
Anomali and MITRE ATT&CK
Datasheet
Anomali and MITRE ATT&CK
MITRE Engenuity and Anomali Help You ​​Anticipate an Adversary’s Next Move
Webinar
MITRE Engenuity and Anomali Help You ​​Anticipate an Adversary’s Next Move
SOC Modernization and the Role of XDR | ESG Research from Anomali
eBook
SOC Modernization and the Role of XDR | ESG Research from Anomali