Qu’est-ce que le framework MITRE ATT&CK ?

La sécurité MITRE est une mission centrale de la MITRE Corporation. Elle intègre à la fois des renseignements sur les cybermenaces et un éventail de ressources de cybersécurité. MITRE préconise une stratégie de sécurité complète qui combine les approches traditionnelles de cyberdéfense et une plus grande exploitation des renseignements sur les cybermenaces, pour permettre aux entreprises de réagir et de s’adapter rapidement à l’évolution des menaces. Ces ressources constituent une base pour la création et le développement d’un programme de cybersécurité à plusieurs facettes :

• Sensibilisation et formation : cette dimension comprend les programmes de sensibilisation des employés, la formation technique et les opportunités d’apprentissage.
• Normes : un cadre de normes de cybersécurité fournit une base commune pour l’identification, l’analyse et le partage des informations sur les menaces.
• Outils : MITRE fournit une gamme d’outils open-source qui aident les entreprises à analyser, détecter et prendre en charge les menaces.

Pour améliorer de manière significative la position de cybersécurité des entreprises, le framework adopte une stratégie de défense basée sur les menaces qui tire parti des connaissances issues de diverses attaques et des événements connexes pour réduire les chances de succès des attaques à venir.

Selon MITRE, une défense globale basée sur les menaces repose sur trois éléments :

• Analyse des renseignements sur les cybermenaces : cette analyse fournit des informations pratiques et des signatures de détection, grâce auxquelles les spécialistes peuvent renforcer les cyberdéfenses et améliorer les moyens d’anticiper, de prévenir, de détecter et de réagir aux cyberattaques.
• Lutte défensive contre les menaces : au cours des premières étapes du cycle de vie des attaques, les entreprises ont l’opportunité de détecter et de neutraliser les menaces avant que les cybercriminels n’aient pu faire trop de dommages : c’est donc une fenêtre critique pour la prévention et la détection des attaques futures. Par contre, au cours des étapes ultérieures, ce sont des techniques réactives comme la réponse aux incidents qui sont employées pour lutter contre une menace existante.
• Partage et collaboration ciblés : MITRE travaille avec des sponsors et des partenaires du secteur pour promouvoir le partage d’informations sur les cybermenaces, adopter de nouveaux concepts et mettre en œuvre des solutions pour renforcer les lignes de défense et la sensibilisation en matière de cybersécurité.

MITRE est un organisme à but non lucratif qui travaille avec le gouvernement fédéral, les états et les collectivités locales, ainsi que diverses industries et universités. Bien qu’il ne s’agisse pas d’une organisation gouvernementale, MITRE gère des centres de recherche et de développement financés par le gouvernement fédéral (FFRDC), des organisations uniques qui appuient le gouvernement américain dans la recherche et l’analyse, le développement et l’acquisition de connaissances scientifiques, et apportent un soutien aux systèmes d’ingénierie et d’intégration.

MITRE se spécialise dans l’élaboration d’idées innovantes dans des domaines tels que l’intelligence artificielle, la science des données intuitive, l’informatique quantique, l’informatique de la santé, la sécurité spatiale, l’expertise politique et économique, le partage des cybermenaces et la cyber-résilience.

L’organisme gère également un programme de recherche indépendant qui explore de nouvelles utilisations des technologies pour résoudre les problèmes spécifiques des clients, et se distingue notamment en mettant de brillantes innovations techniques au service des organismes fédéraux. Parmi ses cœurs de métier figurent l’ingénierie des systèmes, le traitement et l’acquisition du signal, mais aussi la cybersécurité, les technologies mobiles et les logiciels sociaux.

La modélisation des cybermenaces consiste à développer et appliquer la représentation d’un scénario d’attaque dans un cyberenvironnement. Ces menaces peuvent cibler un périphérique, une application, un système, un réseau, une entreprise ou une mission stratégique. La modélisation des menaces peut déterminer comment ces plateformes et environnements réagissent aux attaques en situation réelle et peut aider à identifier des vulnérabilités et d’autres types de faiblesses.

Le processus de modélisation des cybermenaces intervient dans de nombreux aspects de la stratégie de cybersécurité et de résilience, notamment :

• Partage de renseignements sur les menaces (threat intelligence)
• Gestion des risques
• Profilage et exploration de technologies
• Ingénierie de sécurité des systèmes
• Opérations et analyses de sécurité

Le cycle de vie de la cyberattaque, décrit pour la première fois par Lockheed Martin sous l’expression « Cyber Kill Chain », englobe les différentes phases d’une cyberattaque. Le cycle de vie des cyberattaques défini par MITRE est un élément essentiel de sa défense basée sur les menaces (mentionnée ci-dessus) : il offre aux entreprises davantage d’opportunités de découvrir et de prendre en charge les attaques à un stade plus précoce.

Les phases du cycle MITRE se décomposent comme suit :

• Reconnaissance : l’adversaire développe une stratégie sur la cible
• Militarisation : il développe des cyber-armes et détermine la meilleure méthode pour réussir leur déploiement
• Déploiement : il déploie les cyber-armes sur un système cible prédéterminé
• Exploitation : il exploite une vulnérabilité pour installer et activer des programmes malveillants sur le système cible
• Contrôle : il gère la cible initiale et procède à une reconnaissance interne
• Exécution : il exécute son plan pour atteindre ses objectifs (exfiltration des données, par exemple)
• Maintien : il assure sa présence à long terme sur les systèmes ou réseaux cibles (notamment en effaçant tout signe de présence)

Les entreprises qui modèlent leurs propres outils et capacités de défense sur l’ensemble du cycle de vie MITRE des cyberattaques sont mieux à même d’identifier les lacunes de leur architecture de sécurité et de réaliser les investissements nécessaires pour renforcer leurs défenses de sécurité.

Un framework de cybersécurité est une série de normes et de protocoles documentés qui définissent des bonnes pratiques de sécurité pour gérer les risques, réduire l’exposition aux vulnérabilités et protéger les données contre les menaces potentielles. Les entreprises de toutes tailles et de tous les secteurs peinent à sécuriser leurs systèmes et leurs données critiques, c’est pourquoi beaucoup d’entre elles s’appuient sur des frameworks de cybersécurité pour ordonner leur approche. Un framework de cybersécurité fournit un plan complet et normalisé qui anticipe de nombreux défis tout en réduisant la part de conjecture quant aux moyens de protéger les données et l’infrastructure critiques. Dans de nombreux cas, les entreprises peuvent adapter un framework de cybersécurité existant à leurs propres besoins et/ou exigences de conformité.

Le framework ATT&CK peut être utilisé par les équipes de sécurité dans leurs activités de défense quotidiennes, en particulier celles qui ciblent les acteurs malveillants et leurs méthodes d’attaque. ATT&CK est utilisé de multiples façons par les équipes rouges et bleues, fournissant aux professionnels de la sécurité offensive et défensive un langage et un cadre de référence communs en matière de comportements malveillants.

Les équipes « rouges » (testeurs de périmètre et professionnels de la sécurité offensive dont la mission est d’éprouver et de traverser les cyberdéfenses) peuvent suivre le framework MITRE ATT&CK pour tester les défenses de sécurité de leurs réseaux en modélisant les comportements adverses documentés d’ATT&CK. L’utilisation d’ATT&CK comme amélioration de la méthodologie existante des campagnes prédictives peut faciliter l’anticipation des menaces, la détection des tendances et l’évaluation de l’efficacité des outils de défense dans leur environnement.

Les équipes « bleues » (professionnels de la sécurité défensive qui supervisent les protections de sécurité réseau internes et luttent contre les cybermenaces) peuvent s’appuyer sur le framework ATT&CK pour mieux comprendre les actions des adversaires, mais aussi pour donner la priorité aux menaces les plus graves et s’assurer que les mécanismes de sécurité appropriés sont en place, opérationnels et efficaces.

Voici différentes façons d’appliquer la taxonomie d’ATT&CK :

• Cartographie des contrôles de défense : les équipes de sécurité bénéficient d’une vision claire des outils, systèmes et stratégies de défense lorsqu’ils sont référencés selon les tactiques et techniques ATT&CK et les menaces qui leur sont associées.
• Recherche des menaces (threat hunting) : les équipes de sécurité peuvent planifier leurs défenses selon le modèle ATT&CK pour identifier les lacunes critiques de leur infrastructure de sécurité et ainsi détecter des activités menaçantes précédemment négligées.
• Investigation : les équipes de réponse aux incidents et les équipes bleues peuvent se référer aux techniques et tactiques ATT&CK pour comprendre les forces et les faiblesses de leur infrastructure de sécurité, et évaluer l’efficacité des mesures tout en détectant les erreurs de configuration et autres défauts opérationnels.
• Identification des acteurs et des groupes : les équipes de sécurité peuvent rapprocher des acteurs et des groupes malveillants spécifiques des comportements documentés associés.
• Intégration des solutions : les entreprises qui disposent d’un large éventail d’outils et de solutions disparates peuvent classer et standardiser leurs solutions selon le framework ATT&CK en vue de renforcer leur stratégie globale de défense.

Bien que le framework ATT&CK existe depuis des années, il est récemment devenu un moyen populaire pour les organisations, les agences gouvernementales et les particuliers de partager des renseignements sur les menaces, en fournissant un langage commun et normalisé, universel et facile d’accès. Sa capacité à fournir des classifications détaillées sur la façon dont les attaquants interagissent avec les systèmes dans tous les environnements est l’un des facteurs les plus souvent cités de son adoption croissante.

D’autres frameworks de sécurité s’adressent à des industries et utilisateurs spécifiques, avec des recommandations qui varient en fonction des besoins et des exigences de conformité. En voici quelques exemples :

• Framework de cybersécurité NIST : le framework de sécurité généraliste de l’Institut national des normes et de technologie, utilisable par toute organisation cherchant à renforcer sa position de cybersécurité. À la fois économique et flexible, ce framework comporte un processus en cinq étapes pour gérer les risques de cybersécurité et maintenir l’infrastructure de sécurité à l’aide de mesures d’identification, de protection, de détection, de réponse et de rétablissement après une attaque.
• NIST SP 800-53 : l’Institut national des normes et de technologie a également créé la norme NIST SP 800-53 qui définit les exigences de sécurité pour la plupart des systèmes d’information fédéraux, y compris toutes les entités qui utilisent ou prennent en charge ces systèmes. Ce framework protège les données classifiées ou critiques hébergées par les réseaux gouvernementaux à l’aide de mesures claires qui renforcent la sécurité des organismes fédéraux et de leurs sous-traitants.
• HITRUST : créé pour les organismes de santé, le Cadre commun de sécurité de la Health Information Trust Alliance couvre tout système d’information qui héberge des données médicales protégées, qu’elles soient en transit ou au repos. Le cadre offre des conseils concrets pour protéger les informations de santé et assurer la conformité avec les réglementations telles que HIPAA.
• Série ISO 27000 : l’Organisation internationale de normalisation et la Commission électrotechnique internationale ont créé cette norme pour les systèmes de gestion de la sécurité de l’information dans le but de permettre aux responsables de rester au fait des mesures et des contrôles de cybersécurité. Le framework s’accompagne de plusieurs publications et couvre l’ensemble des aspects, des contrôles de sécurité aux directives pour une gestion efficace des opérations IT.
• NERC 1300 : la North American Electric Reliability Corporation (NERC) a créé un ensemble de normes de sécurité qui intègre notamment des bonnes pratiques de gestion des correctifs, des mécanismes robustes de sécurité réseau et la continuité du système. Ce framework protège les systèmes critiques en fournissant des mesures qui réduisent le risque de pannes d’électricité et de défaillance des systèmes à grande échelle.
• ANSI/ISA 62443 : la Société internationale d’automatisation et l’Institut américain de normalisation ont développé ce framework de sécurité pour les systèmes d’automatisation et de contrôle industriels. Celui-ci s'avère de plus en plus pertinent avec le développement rapide de l’IoT dans la grande consommation comme dans le domaine de la fabrication. Le framework se compose de quatre catégories : généralités, composants, systèmes et politiques et procédures. Il propose une certification pour les équipements IoT et les produits grand public.

La différence la plus importante entre ces deux frameworks est que la Cyber Kill Chain offre une vue d’ensemble de haut niveau de la stratégie de sécurité unifiée, tandis que le framework MITRE ATT&CK délivre une liste complète de tactiques et de techniques sans mentionner un modèle d’attaque ou un mode opératoire spécifique.

Ces deux cadres suivent le même schéma général qui présente l’intrusion des adversaires dans le réseau, la manière dont ils échappent à la détection et enfin celle dont ils s’évadent avec des actifs. Toutefois, un scénario ATT&CK peut commencer par une technique de type « accès initial », par exemple, puis passer à l’étape « accès aux identifiants » via diverses méthodes, utiliser des techniques d’« évitement des mécanismes de défense » pour couvrir les traces, puis revenir à la phase « exécution ».

La Cyber Kill Chain, en revanche, articule une séquence spécifique d’événements, dans laquelle les adversaires passent par les phases de reconnaissance, d’intrusion, puis les phases suivantes dans un ordre défini. La séquence Cyber Kill Chain est légèrement plus courte que la séquence ATT&CK :

ATT&CK peut s’avérer utile pour toute entreprise qui souhaite renforcer ses connaissances sur les menaces et mettre en place une stratégie de défense plus informée, quel que soit la taille ou le niveau d'expertise de l’équipe de sécurité. Si MITRE fournit gratuitement ses contenus, les entreprises peuvent faire appel à une myriade de consultants MITRE ou d’autres fournisseurs pour les aider à mettre en œuvre le framework en fonction de leurs besoins spécifiques.

Si vous disposez d’une équipe de sécurité restreinte et que vous souhaitez élargir vos capacités de renseignements sur les menaces (threat intelligence), vous pouvez vous concentrer sur un groupe pertinent (des ensembles organisés d’activités d’intrusion) et rechercher les comportements d’attaque associés d’ATT&CK qui se rapportent à votre entreprise.

Si votre entreprise dispose d’une équipe de professionnels dédiée à la sécurité qui analysent régulièrement les renseignements sur les menaces, vous pouvez commencer par mapper vous-même ces informations sur le framework ATT&CK au lieu de vous appuyer sur ce que d’autres ont déjà fait.

Si votre équipe est plus avancée, vous pourrez associer de plus en plus d’informations à ATT&CK et l’utiliser comme guide pour créer vos mesures de cyberdéfense. Vous pouvez mapper des informations internes et externes sur le framework ATT&CK : réponse aux incidents, alertes en temps réel et données historiques de votre entreprise, notamment. Une fois ces données mappées, vous pouvez comparer des groupes et identifier les techniques les plus utilisées.

Élaborez une stratégie de sécurité davantage axée sur les renseignements sur les menaces

De nombreuses entreprises s’appuient sur des défenses traditionnelles qui utilisent un arsenal de produits de sécurité conçus pour bloquer les programmes malveillants et d'autres menaces, et signaler les vulnérabilités qui peuvent être exploitées par les hackers. Si elles sont efficaces dans certains domaines, ces approches ont leurs limites, et surtout, elles n’expliquent pas de quelle manière les pirates informatiques déploient leurs cyberattaques une fois qu’ils sont à l’intérieur de votre réseau. Les renseignements sur les cybermenaces, articulés au sein d’un framework complet comme ATT&CK, vous donnent une visibilité sur les méthodes de vos adversaires. Vous pouvez ainsi commencer à penser comme eux et prendre des décisions mieux informées pour neutraliser les attaques destructrices et ciblées avant qu’elles ne se produisent.