Blog
Support

Qu'est-ce que MITRE ATT&CK et en quoi est-il utile ?

Qu'est-ce que MITRE ATT&CK™ ?

ONGLET introduit ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) en 2013 afin de décrire et de classer les comportements contradictoires sur la base d'observations du monde réel. ATT&CK est une liste structurée de comportements connus des attaquants qui ont été compilés en tactiques et techniques et exprimés dans une poignée de matrices ainsi que via STIX/TAXI. Étant donné que cette liste est une représentation assez complète des comportements utilisés par les attaquants lorsqu'ils compromettent des réseaux, elle est utile pour une variété de mesures, de représentations et d'autres mécanismes offensifs et défensifs.

Comprendre les matrices ATT&CK

MITRE a divisé ATT&CK en plusieurs matrices différentes : Entreprise, Portable, et PRÉ-ATT&CK. Chacune de ces matrices contient diverses tactiques et techniques associées au sujet de cette matrice.

La matrice Enterprise est composée de techniques et de tactiques applicables aux systèmes Windows, Linux et/ou macOS. Mobile contient des tactiques et des techniques qui s'appliquent aux appareils mobiles. PRE-ATT&CK contient des tactiques et des techniques liées à ce que font les attaquants avant ils essaient d'exploiter un réseau ou un système cible en particulier.

Les rouages d'ATT&CK : tactiques et techniques

Lorsque vous regardez ATT&CK sous forme de matrice, les titres des colonnes en haut sont tactiques et sont essentiellement des catégories de techniques. Les tactiques sont que les attaquants essaient de réaliser alors que les techniques individuelles sont comment ils atteignent ces étapes ou ces objectifs.

A table with a list of different types of data.

Matrice d'entreprise ATT&CK de https://attack.mitre.org/matrices/enterprise/

Par exemple, l'une des tactiques est Mouvement latéral. Pour qu'un attaquant réussisse à effectuer un mouvement latéral dans un réseau, il devra utiliser une ou plusieurs des techniques répertoriées dans la colonne Mouvement latéral de la matrice ATT&CK.

UNE technique est un comportement spécifique visant à atteindre un objectif et constitue souvent une étape unique d'une série d'activités utilisées pour mener à bien la mission globale de l'attaquant. ATT&CK fournit de nombreux détails sur chaque technique, notamment une description, des exemples, des références et des suggestions d'atténuation et de détection.

A webpage with a description of a Drive-by Compromise.

Exemple de description d'une technique dans MITRE ATT&CK

À titre d'exemple de la façon dont les tactiques et les techniques fonctionnent dans ATT&CK, un attaquant peut souhaiter accéder à un réseau et installer un logiciel de minage de cryptomonnaies sur autant de systèmes que possible au sein de ce réseau. Pour atteindre cet objectif global, l'attaquant doit effectuer avec succès plusieurs étapes intermédiaires. Tout d'abord, accédez au réseau, éventuellement via un Lien de spearphishing. Ensuite, ils devront peut-être augmenter leurs privilèges en Procédé d'injection. Ils peuvent désormais obtenir d'autres informations d'identification à partir du système via Dumping des titres de compétences puis établissez la persistance en configurant le script de minage pour qu'il s'exécute en tant que Tâche planifiée. Une fois cela fait, l'attaquant peut être en mesure de se déplacer latéralement sur le réseau avec Passez le hachage et diffusez leur logiciel de minage de pièces sur autant de systèmes que possible.

Dans cet exemple, l'attaquant a dû exécuter avec succès cinq étapes, chacune représentant un tactique ou stade de leur attaque globale : Accès initial, Augmentation des privilèges, Accès aux informations d'identification, Persistance, et Mouvement latéral. Ils ont utilisé des techniques dans le cadre de ces tactiques pour accomplir chaque étape de leur attaque (lien de spearphishing, injection de processus, dumping d'informations d'identification, etc.).

Les différences entre PRE-ATT&CK et ATT&CK Enterprise

PRE-ATT&CK et ATT&CK Enterprise se combinent pour former la liste complète des tactiques qui s'alignent à peu près sur Cyber Kill Chain. PRE-ATT&CK s'inscrit principalement dans les trois premières phases de la chaîne de destruction : reconnaissance, militarisation et livraison. ATT&CK Enterprise s'inscrit parfaitement dans les quatre dernières phases de la chaîne de destruction : exploitation, installation, commande et contrôle, et actions par rapport aux objectifs.

Steps indication from Pre Attack to Enterprise
Tactiques PRE-ATT&CK
Définition de la priorité
Sélection de la cible
Collecte d'informations
Identification des faiblesses
OpSec adversaire
Mise en place et maintenance de l'infrastructure
Développement personnel
Capacités de développement
Capacités de test
Capacités scéniques
Tactiques d'entreprise ATT&CK
Accès initial
Exécution
Persistance
Augmentation des privilèges
Évasion de défense
Accès aux informations d'identification
Découverte
Mouvement latéral
Recueil
Exfiltration
Commandement et contrôle

Que peut-on faire avec ATT&CK ?

ATT&CK est utile dans de nombreux contextes de la vie quotidienne. Toutes les activités défensives qui font référence aux attaquants et à leurs comportements peuvent bénéficier de l'application de la taxonomie d'ATT&CK. En plus de proposer un lexique commun pour les cyberdéfenseurs, ATT&CK fournit également une base pour les tests d'intrusion et le red teaming. Cela donne aux défenseurs et aux équipes rouges un langage commun lorsqu'ils font référence à des comportements contradictoires.

Exemples où l'application de la taxonomie d'ATT&CK peut être utile :

Cartographie des commandes défensives

Les contrôles défensifs peuvent avoir une signification bien comprise lorsqu'ils sont comparés aux tactiques et techniques ATT&CK auxquelles ils s'appliquent.

Intégrations d'outils

Des outils et des services disparates peuvent standardiser les tactiques et techniques d'ATT&CK, conférant ainsi de la cohésion à une défense qui fait souvent défaut.

Chasse aux menaces

La cartographie des défenses selon ATT&CK fournit une feuille de route des failles défensives qui fournit aux chasseurs de menaces les endroits parfaits pour détecter les activités manquées par les attaquants.

Partage

Lorsqu'ils partagent des informations sur une attaque, un acteur ou un groupe, ou des contrôles défensifs, les défenseurs peuvent s'assurer d'une compréhension commune en utilisant les techniques et tactiques ATT&CK.

Détections et enquêtes

Le centre des opérations de sécurité (SOC) et l'équipe de réponse aux incidents peuvent faire référence aux techniques et tactiques ATT&CK qui ont été détectées ou découvertes. Cela permet de comprendre où se situent les forces et les faiblesses de la défense, de valider les contrôles d'atténuation et de détection, et de découvrir des erreurs de configuration et d'autres problèmes opérationnels.

Intégrations d'outils

La planification, l'exécution et le reporting des activités de l'équipe rouge, de l'équipe violette et des tests d'intrusion peuvent utiliser ATT&CK pour parler un langage commun avec les défenseurs et les destinataires des signalements, ainsi qu'entre eux.

Référencement des acteurs

Les acteurs et les groupes peuvent être associés à des comportements spécifiques et définissables.

Utiliser ATT&CK pour cartographier les défenses et comprendre les lacunes

Lorsqu'elles étudient MITRE ATT&CK, la plupart des équipes de sécurité ont naturellement tendance à essayer de développer une sorte de contrôle de détection ou de prévention pour chaque technique de la matrice d'entreprise. Bien que ce ne soit pas une mauvaise idée, les nuances d'ATT&CK rendent cette approche un peu dangereuse si certaines mises en garde ne sont pas prises en compte. Les techniques des matrices ATT&CK peuvent souvent être exécutées de différentes manières. Ainsi, le fait de bloquer ou de détecter une seule façon de les exécuter ne signifie pas nécessairement qu'il existe une couverture pour toutes les méthodes possibles d'exécution de cette technique. Cela peut donner lieu à une fausse impression de sécurité selon laquelle, étant donné qu'un outil bloque une forme d'utilisation d'une technique, cette technique est correctement couverte pour l'organisation. Pourtant, les attaquants peuvent toujours utiliser avec succès d'autres moyens pour utiliser cette technique sans qu'aucune détection ou prévention ne soit mise en place.

La façon de résoudre ce problème est la suivante :

Supposez toujours qu'il existe plusieurs manières d'exécuter une technique ATT&CK
Recherchez et testez des méthodes connues pour appliquer des techniques spécifiques et mesurer l'efficacité des outils et la visibilité en place
Enregistrez soigneusement les résultats des tests pour montrer les lacunes de cette technique et les méthodes d'utilisation de cette technique qui peuvent être évitées ou détectées
Notez quels outils s'avèrent efficaces pour des détections spécifiques et notez les lacunes lorsqu'il n'y a aucune couverture
Restez au courant des nouvelles méthodes d'exécution des techniques et assurez-vous de les tester par rapport à l'environnement pour mesurer la couverture

Par exemple, si un antivirus détecte la présence de Mimikatz, cela ne signifie pas que Pass the Hash (T1075) et Pass the Ticket (T1097) sont couverts, car il existe encore plusieurs autres méthodes d'exécution de ces techniques qui n'impliquent pas l'utilisation de Mimikatz. Gardez cela à l'esprit si vous essayez d'utiliser ATT&CK pour montrer la couverture défensive d'une organisation.

Utiliser ATT&CK avec le renseignement sur les cybermenaces

ATT&CK peut être utile pour le renseignement sur les cybermenaces car il permet de décrire les comportements contradictoires de manière standard. Les acteurs peuvent être suivis en les associant à des techniques et à des tactiques dans ATT&CK qu'ils sont connus pour utiliser. Cela donne aux défenseurs une feuille de route à appliquer à leurs contrôles opérationnels afin de déterminer leurs points faibles par rapport à certains acteurs et leurs points forts. La création d'entrées MITRE ATT&CK Navigator pour des acteurs spécifiques est un bon moyen de visualiser les forces et les faiblesses de l'environnement par rapport à ces acteurs ou groupes. ATT&CK est également disponible en Flux STIX/TAXII 2.0 ce qui facilite son intégration dans les outils existants qui prennent en charge ces technologies.

ATT&CK fournit des détails sur près de soixante-dix acteurs et groupes, y compris les techniques et les outils qu'ils sont connus pour utiliser sur la base de rapports open source.

A webpage with a list of groups and their descriptions.

Liste du groupe MITRE ATT&CK

Le processus de création de renseignements lui-même peut bénéficier de l'utilisation de la langue vernaculaire commune d'ATT&CK. Comme indiqué, cela peut s'appliquer aux acteurs et aux groupes, mais peut également s'appliquer aux comportements observés tels qu'ils ressortent du SOC ou des activités de réponse aux incidents. Les malwares peuvent également être désignés en termes de comportements via ATT&CK. Tous les outils de renseignement sur les menaces prenant en charge ATT&CK contribuent à simplifier ce processus. Les informations commerciales et open source qui appliquent ATT&CK à tous les comportements mentionnés sont également utiles pour maintenir la cohérence des choses. La diffusion de renseignements aux opérations ou à la direction est finalement beaucoup plus facile lorsque toutes les parties parlent le même langage en matière de comportements contradictoires. Si les opérations savent exactement quoi Authentification forcée est et voit cela mentionné dans un rapport de renseignement, ils savent peut-être exactement quelles mesures doivent être prises ou quels contrôles sont déjà en place concernant cet élément de renseignement. Cette standardisation des références ATT&CK dans les produits de renseignement peut améliorer considérablement l'efficacité et garantir une compréhension commune.

Simulation contradictoire et ATT&CK

Tester les techniques d'ATT&CK par rapport à l'environnement est le meilleur moyen de :

Les contrôles de test et leur efficacité
Garantir une couverture contre les différentes techniques
Comprenez les lacunes en matière de visibilité ou de protection
Valider la configuration des outils et des systèmes
Démontrer les domaines dans lesquels les différents acteurs pourraient réussir ou seraient empêchés de se retrouver dans l'environnement
Évitez les suppositions et les suppositions avec les contrôles en sachant exactement ce qui est détecté ou atténué et ce qui ne l'est pas

Le processus de simulation contradictoire n'est pas étranger à de nombreux environnements. Lorsqu'elles font appel à des testeurs d'intrusion pour tester l'environnement, les entreprises procèdent à des tests de simulation contradictoires. Il en va de même pour les organisations qui disposent d'équipes rouges internes ou qui exécutent des engagements d'équipe violets. L'application des activités de ces engagements aux techniques ATT&CK permet aux défenseurs de mieux comprendre les résultats. Au lieu de signaler des échecs dans la détection de certaines activités, les rapports issus de tests stylo et d'équipes rouges peuvent contenir un meilleur contexte pour appliquer leurs activités directement aux contrôles opérationnels, aux outils défensifs et aux procédures. Cela permet aux défenseurs de prendre plus facilement les mesures appropriées à la suite des signalements.

Les simulations peuvent être conçues pour refléter des outils et des techniques connus pour être également utilisés par des acteurs spécifiques. Cela peut être particulièrement utile lorsque vous essayez d'évaluer l'efficacité de certains adversaires face aux contrôles présents dans l'environnement.

En outre, il existe des outils qui fournissent des mécanismes permettant de tester certaines techniques directement dans l'environnement et qui sont déjà alignés sur ATT&CK. Des outils commerciaux tels que Vérodine, SafeBreach, et QI d'attaque offrent la possibilité d'effectuer une simulation contradictoire alignée sur ATT&CK. Il existe quelques options open source pour effectuer des simulations contradictoires et également s'aligner sur ATT&CK (répertoriées ci-dessous). Comme toujours, soyez prudent lorsque vous effectuez des simulations contradictoires sur des réseaux de production dont l'étendue des ramifications potentielles n'est pas entièrement comprise.

Le processus d'utilisation de ces outils est simple :

  1. Simuler — Choisissez les critères de simulation en fonction des tests souhaités, puis exécutez l'outil ou exécutez la technique manuellement
  2. Chasse — Examinez les journaux et les résultats de l'outil pour trouver des preuves de l'activité simulée ; notez les attentes manquées grâce à des contrôles de détection ou préventifs
  3. Détecter — Ajoutez de nouvelles détections ou mesures d'atténuation en fonction des résultats ; notez également les éventuelles lacunes en matière de visibilité et les outils utilisés pour la détection ou l'atténuation

Meilleures pratiques d'utilisation d'ATT&CK

Voici une liste des meilleures pratiques pour ATT&CK :

Utiliser tactiques dont les techniques sont ambiguës ou difficiles à cerner

PARTAGEZ méthodes de détection et d'atténuation découvertes

PARTAGEZ tactiques et techniques des comportements observés des attaquants

Effet de levier Intégration d'ATT&CK dans les outils existants

Encourager fournisseurs et prestataires de services pour ajouter un support pour ATT&CK là où cela serait utile

Difficultés liées à l'utilisation d'ATT&CK

L'utilisation d'ATT&CK ne va pas sans difficultés. Il est bon de les garder à l'esprit lorsque vous utilisez ATT&CK.

Toutes les techniques ne sont pas toujours malveillantes

Toutes les techniques ne sont pas toujours malveillantes

Certaines techniques sont répertoriées sous plusieurs tactiques

  • Exemple : Piratage des commandes de recherche DLL (T1038)
  • Apparaît dans les rubriques Tactiques de persévérance, d'escalade des privilèges et d'évasion de la défense
  • Certaines techniques, comme celle-ci, peuvent être utilisées pour de multiples cas d'utilisation et sont utiles à plusieurs étapes d'attaque

Toutes les techniques ne sont pas faciles à détecter

Certaines techniques ont de nombreuses méthodes d'exécution possibles

Outils et ressources ATT&CK

Voici une liste d'outils et d'autres ressources qui utilisent ATT&CK. Certains d'entre eux ont été mentionnés précédemment mais sont fournis ici pour faciliter la consultation. Pour ajouter quelque chose à cette liste, envoyez un e-mail à

Le meilleur point de départ avec ATT&CK est toujours Site web ATT&CK du MITRE.
MITRE maintient une blog sur ATT&CK sur Medium.
Pour toute question concernant ATT&CK, envoyez des e-mails à : attack@mitre.org.

Navigateur ATT&CK

ATT&CK Navigator est un excellent outil à utiliser pour cartographier les contrôles par rapport aux techniques ATT&CK. Des couches peuvent être ajoutées pour montrer spécifiquement les contrôles de détection, les contrôles préventifs ou même les comportements observés. Le navigateur peut être utilisé en ligne pour des maquettes ou des scénarios rapides ou cela peut être téléchargés et configuré en interne comme solution plus permanente.

EN SAVOIR PLUS
A dashboard screenshot displaying a table with colored cells in white, green, yellow, and blue.

Navigateur MITRE ATT&CK

A table displaying techniques, ids, and data sources columns with various types of data.

Exemple de détails inclus dans l'aide-mémoire ATT&CK Logging de Malware Archeology

Aide-mémoire sur la journalisation ATT&CK de Malware Archeology pour Windows

Les professionnels de confiance de Malware Archeology fournissent un certain nombre de fiches de triche sur la journalisation de Windows pour aider les défenseurs à détecter les activités malveillantes dans les journaux. Ils en ont une dédiée à la recherche de techniques auprès de MITRE ATT&CK.

EN SAVOIR PLUS

À propos de Metta

Metta est un projet open source d'Uber qui réalise une simulation contradictoire et est aligné sur MITRE ATT&CK.

EN SAVOIR PLUS
A screenshot of a computer screen displaying a list of files in GitHub.
A Wikipedia page that is about 'Welcome to the Cyber Analytics Repository'.

Référentiel MITRE Cyber Analytics (CAR)

Référentiel MITRE Cyber Analytics (CAR)

MITRE dispose d'une ressource appelée Cyber Analytics Repository (CAR), qui est un site de référence pour diverses analyses utiles pour détecter les comportements dans MITRE ATT&CK.

EN SAVOIR PLUS

Caldeira MITRE

Caldera est un outil de simulation d'adversaire automatique open source basé sur MITRE ATT&CK.

EN SAVOIR PLUS
Dashboard with various circles representing different data points and operations overview.

Capture d'écran de MITRE Caldera

A chart showing the number of attacks on different platforms.

ATT&CK Enterprise Matrix dans un tableau public par Cyb3rpanda

Tableau de bord ATT&CK par Cyb3rpanda

Cyb3rpanda a chargé ATT&CK dans une instance publique de Tableau pour faciliter le pivotement et le filtrage.

EN SAVOIR PLUS

L'équipe Red Atomic Red de Red Canary

Atomic Red Team est un outil open source de Red Canary pour simuler des comportements contradictoires mappés à MITRE ATT&CK. Plus d'informations disponibles à l'adresse suivante : https://atomicredteam.io/

EN SAVOIR PLUS
A computer screen with a list of commands and a description of a system service discovery.

Exemple de test d'Atomic Red Team

A screenshot of a website with the title "Playbook View".

Visionneuse de playbooks de Palo Alto Unit 42

Visionneuse de playbooks Palo Alto Unit 42

Le groupe Unit 42 de Palo Alto a publié un visualiseur de playbooks gratuit qui montre les comportements contradictoires connus d'une poignée de groupes de menaces liés à MITRE ATT&CK.

EN SAVOIR PLUS

Automatisation de Endgame Red Team

Red Team Automation est un outil open source d'Endgame qui teste les comportements malveillants calqués sur le modèle de MITRE ATT&CK.

EN SAVOIR PLUS
Endgame Red Team Automation list

Liste actuelle des techniques prises en charge par Red Team Automation (RTA)

A website page featuring text on the topic 'Torii Botnet - Not Another Mirai Variant.'

Exemple d'Anomali Cyber Watch

Cyber Watch Anomali

Ce rapport hebdomadaire gratuit inclut les principaux développements de la semaine en matière de sécurité et de menaces. Le rapport inclut les techniques IOC et ATT&CK pertinentes pour chaque histoire incluse dans le briefing.

EN SAVOIR PLUS

Résumé

MITRE a apporté une contribution significative à la communauté de la sécurité en nous fournissant ATT&CK ainsi que les outils et ressources associés. Cela n'aurait pas pu arriver à un meilleur moment. Alors que les attaquants trouvent des moyens d'être plus furtifs et d'éviter d'être détectés par les outils de sécurité traditionnels, les défenseurs doivent modifier leur approche de la détection et de la défense. ATT&CK modifie notre perception des indicateurs de bas niveau tels que les adresses IP et les noms de domaine et nous permet de voir les attaquants et nos défenses à travers le prisme des comportements. Cette nouvelle perception ne signifie pas pour autant que les résultats seront faciles. L'époque facile des listes de blocage et des filtres simples est pratiquement révolue. La voie de la détection et de la prévention des comportements est beaucoup plus difficile que les outils du passé qui consistaient à « tirer et oublier ». De plus, les attaquants s'adapteront certainement à mesure que les défenseurs apporteront de nouvelles capacités. ATT&CK fournit un moyen de décrire les nouvelles techniques qu'ils développent et, espérons-le, de garder les défenseurs au courant.

En savoir plus sur MITRE ATT&CK™

White Paper

Osterman Research Report: How the Pandemic and Elections Have Impacted Government Agency Cybersecurity Concerns and Priorities

Lisez le livre blanc

White Paper

SANS Measuring and Improving Cyber Defense Using the MITRE ATT&CK Framework

Lisez le livre blanc

White Paper

CSO Online: Organizing the Hunt for Cyber Threats with MITRE ATT&CK

Lisez le livre blanc

Datasheet

Anomali and MITRE ATT&CK

Lire la fiche technique
Aucun article n'a été trouvé.

eBook

Cyber Threat Intelligence Programs: What’s Needed to Keep Up? | ESG Research & Anomali eBook

Lisez le livre électronique

eBook

SOC Modernization and the Role of XDR | ESG Research from Anomali

Lisez le livre électronique

eBook

Seven Experts on Utilizing Frameworks for Enhanced Cyber Defenses

Lisez le livre électronique
Aucun article n'a été trouvé.

Video

MITRE ATT&CK Framework—How Is It Useful?

Regardez la vidéo

Video

MITRE ATT&CK Framework

Regardez la vidéo

Webinar

MITRE Engenuity and Anomali Help You ​​Anticipate an Adversary’s Next Move

Regardez le webinaire

Webinar

Operationalizing the MITRE ATT&CK Framework Through a New Lens

Regardez le webinaire

Webinar

Turning Intelligence Into Action with MITRE ATT&CK: Detect ‘19 Series

Regardez le webinaire

Webinar

MITRE’s ATT&CK Framework: What Is It and How Can It Help?

Regardez le webinaire

BLOG

Gartner Insights: How to Respond to the Cyberthreat Landscape

Read the blog

BLOG

Getting Value with the MITRE ATT&CK Framework

Read the blog

BLOG

The Need to Use MITRE ATT&CK and Other Frameworks for Cyber Defense

Read the blog

BLOG

Anomali Cybersecurity Insights Report 2022, Your First Step Towards Cyber Resilience

Read the blog

BLOG

Is XDR Right for Your Enterprise? To Answer the Question, You Need to Know What XDR Is

Read the blog

BLOG

Anomali August Quarterly Product Release: Achieving Cyber Fusion

Read the blog

BLOG

Cyber Threat Intelligence Combined with MITRE ATT&CK Provides Strategic Advantage over Cyber Threats

Read the blog

BLOG

The COVID-19 Pandemic Changed Everything, Can You Detect the New Normal?

Read the blog

BLOG

Fortify Your Cyber Defense with the MITRE ATT&CK Framework

Read the blog

BLOG

What is MITRE ATT&CK™?

Read the blog
Trier par date (Desc)
Parcourez toutes les ressources