Qu'est-ce que MITRE ATT&CK et en quoi est-il utile ?
Qu'est-ce que MITRE ATT&CK™ ?
ONGLET introduit ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) en 2013 afin de décrire et de classer les comportements contradictoires sur la base d'observations du monde réel. ATT&CK est une liste structurée de comportements connus des attaquants qui ont été compilés en tactiques et techniques et exprimés dans une poignée de matrices ainsi que via STIX/TAXI. Étant donné que cette liste est une représentation assez complète des comportements utilisés par les attaquants lorsqu'ils compromettent des réseaux, elle est utile pour une variété de mesures, de représentations et d'autres mécanismes offensifs et défensifs.
Comprendre les matrices ATT&CK
MITRE a divisé ATT&CK en plusieurs matrices différentes : Entreprise, Portable, et PRÉ-ATT&CK. Chacune de ces matrices contient diverses tactiques et techniques associées au sujet de cette matrice.
La matrice Enterprise est composée de techniques et de tactiques applicables aux systèmes Windows, Linux et/ou macOS. Mobile contient des tactiques et des techniques qui s'appliquent aux appareils mobiles. PRE-ATT&CK contient des tactiques et des techniques liées à ce que font les attaquants avant ils essaient d'exploiter un réseau ou un système cible en particulier.
Les rouages d'ATT&CK : tactiques et techniques
Lorsque vous regardez ATT&CK sous forme de matrice, les titres des colonnes en haut sont tactiques et sont essentiellement des catégories de techniques. Les tactiques sont que les attaquants essaient de réaliser alors que les techniques individuelles sont comment ils atteignent ces étapes ou ces objectifs.
Matrice d'entreprise ATT&CK de https://attack.mitre.org/matrices/enterprise/
Par exemple, l'une des tactiques est Mouvement latéral. Pour qu'un attaquant réussisse à effectuer un mouvement latéral dans un réseau, il devra utiliser une ou plusieurs des techniques répertoriées dans la colonne Mouvement latéral de la matrice ATT&CK.
UNE technique est un comportement spécifique visant à atteindre un objectif et constitue souvent une étape unique d'une série d'activités utilisées pour mener à bien la mission globale de l'attaquant. ATT&CK fournit de nombreux détails sur chaque technique, notamment une description, des exemples, des références et des suggestions d'atténuation et de détection.
Exemple de description d'une technique dans MITRE ATT&CK
À titre d'exemple de la façon dont les tactiques et les techniques fonctionnent dans ATT&CK, un attaquant peut souhaiter accéder à un réseau et installer un logiciel de minage de cryptomonnaies sur autant de systèmes que possible au sein de ce réseau. Pour atteindre cet objectif global, l'attaquant doit effectuer avec succès plusieurs étapes intermédiaires. Tout d'abord, accédez au réseau, éventuellement via un Lien de spearphishing. Ensuite, ils devront peut-être augmenter leurs privilèges en Procédé d'injection. Ils peuvent désormais obtenir d'autres informations d'identification à partir du système via Dumping des titres de compétences puis établissez la persistance en configurant le script de minage pour qu'il s'exécute en tant que Tâche planifiée. Une fois cela fait, l'attaquant peut être en mesure de se déplacer latéralement sur le réseau avec Passez le hachage et diffusez leur logiciel de minage de pièces sur autant de systèmes que possible.
Dans cet exemple, l'attaquant a dû exécuter avec succès cinq étapes, chacune représentant un tactique ou stade de leur attaque globale : Accès initial, Augmentation des privilèges, Accès aux informations d'identification, Persistance, et Mouvement latéral. Ils ont utilisé des techniques dans le cadre de ces tactiques pour accomplir chaque étape de leur attaque (lien de spearphishing, injection de processus, dumping d'informations d'identification, etc.).
Les différences entre PRE-ATT&CK et ATT&CK Enterprise
PRE-ATT&CK et ATT&CK Enterprise se combinent pour former la liste complète des tactiques qui s'alignent à peu près sur Cyber Kill Chain. PRE-ATT&CK s'inscrit principalement dans les trois premières phases de la chaîne de destruction : reconnaissance, militarisation et livraison. ATT&CK Enterprise s'inscrit parfaitement dans les quatre dernières phases de la chaîne de destruction : exploitation, installation, commande et contrôle, et actions par rapport aux objectifs.
Que peut-on faire avec ATT&CK ?
ATT&CK est utile dans de nombreux contextes de la vie quotidienne. Toutes les activités défensives qui font référence aux attaquants et à leurs comportements peuvent bénéficier de l'application de la taxonomie d'ATT&CK. En plus de proposer un lexique commun pour les cyberdéfenseurs, ATT&CK fournit également une base pour les tests d'intrusion et le red teaming. Cela donne aux défenseurs et aux équipes rouges un langage commun lorsqu'ils font référence à des comportements contradictoires.
Exemples où l'application de la taxonomie d'ATT&CK peut être utile :
Cartographie des commandes défensives
Les contrôles défensifs peuvent avoir une signification bien comprise lorsqu'ils sont comparés aux tactiques et techniques ATT&CK auxquelles ils s'appliquent.
Intégrations d'outils
Des outils et des services disparates peuvent standardiser les tactiques et techniques d'ATT&CK, conférant ainsi de la cohésion à une défense qui fait souvent défaut.
Chasse aux menaces
La cartographie des défenses selon ATT&CK fournit une feuille de route des failles défensives qui fournit aux chasseurs de menaces les endroits parfaits pour détecter les activités manquées par les attaquants.
Partage
Lorsqu'ils partagent des informations sur une attaque, un acteur ou un groupe, ou des contrôles défensifs, les défenseurs peuvent s'assurer d'une compréhension commune en utilisant les techniques et tactiques ATT&CK.
Détections et enquêtes
Le centre des opérations de sécurité (SOC) et l'équipe de réponse aux incidents peuvent faire référence aux techniques et tactiques ATT&CK qui ont été détectées ou découvertes. Cela permet de comprendre où se situent les forces et les faiblesses de la défense, de valider les contrôles d'atténuation et de détection, et de découvrir des erreurs de configuration et d'autres problèmes opérationnels.
Intégrations d'outils
La planification, l'exécution et le reporting des activités de l'équipe rouge, de l'équipe violette et des tests d'intrusion peuvent utiliser ATT&CK pour parler un langage commun avec les défenseurs et les destinataires des signalements, ainsi qu'entre eux.
Référencement des acteurs
Les acteurs et les groupes peuvent être associés à des comportements spécifiques et définissables.
Utiliser ATT&CK pour cartographier les défenses et comprendre les lacunes
Lorsqu'elles étudient MITRE ATT&CK, la plupart des équipes de sécurité ont naturellement tendance à essayer de développer une sorte de contrôle de détection ou de prévention pour chaque technique de la matrice d'entreprise. Bien que ce ne soit pas une mauvaise idée, les nuances d'ATT&CK rendent cette approche un peu dangereuse si certaines mises en garde ne sont pas prises en compte. Les techniques des matrices ATT&CK peuvent souvent être exécutées de différentes manières. Ainsi, le fait de bloquer ou de détecter une seule façon de les exécuter ne signifie pas nécessairement qu'il existe une couverture pour toutes les méthodes possibles d'exécution de cette technique. Cela peut donner lieu à une fausse impression de sécurité selon laquelle, étant donné qu'un outil bloque une forme d'utilisation d'une technique, cette technique est correctement couverte pour l'organisation. Pourtant, les attaquants peuvent toujours utiliser avec succès d'autres moyens pour utiliser cette technique sans qu'aucune détection ou prévention ne soit mise en place.
La façon de résoudre ce problème est la suivante :
Par exemple, si un antivirus détecte la présence de Mimikatz, cela ne signifie pas que Pass the Hash (T1075) et Pass the Ticket (T1097) sont couverts, car il existe encore plusieurs autres méthodes d'exécution de ces techniques qui n'impliquent pas l'utilisation de Mimikatz. Gardez cela à l'esprit si vous essayez d'utiliser ATT&CK pour montrer la couverture défensive d'une organisation.
Utiliser ATT&CK avec le renseignement sur les cybermenaces
ATT&CK peut être utile pour le renseignement sur les cybermenaces car il permet de décrire les comportements contradictoires de manière standard. Les acteurs peuvent être suivis en les associant à des techniques et à des tactiques dans ATT&CK qu'ils sont connus pour utiliser. Cela donne aux défenseurs une feuille de route à appliquer à leurs contrôles opérationnels afin de déterminer leurs points faibles par rapport à certains acteurs et leurs points forts. La création d'entrées MITRE ATT&CK Navigator pour des acteurs spécifiques est un bon moyen de visualiser les forces et les faiblesses de l'environnement par rapport à ces acteurs ou groupes. ATT&CK est également disponible en Flux STIX/TAXII 2.0 ce qui facilite son intégration dans les outils existants qui prennent en charge ces technologies.
ATT&CK fournit des détails sur près de soixante-dix acteurs et groupes, y compris les techniques et les outils qu'ils sont connus pour utiliser sur la base de rapports open source.
Liste du groupe MITRE ATT&CK
Le processus de création de renseignements lui-même peut bénéficier de l'utilisation de la langue vernaculaire commune d'ATT&CK. Comme indiqué, cela peut s'appliquer aux acteurs et aux groupes, mais peut également s'appliquer aux comportements observés tels qu'ils ressortent du SOC ou des activités de réponse aux incidents. Les malwares peuvent également être désignés en termes de comportements via ATT&CK. Tous les outils de renseignement sur les menaces prenant en charge ATT&CK contribuent à simplifier ce processus. Les informations commerciales et open source qui appliquent ATT&CK à tous les comportements mentionnés sont également utiles pour maintenir la cohérence des choses. La diffusion de renseignements aux opérations ou à la direction est finalement beaucoup plus facile lorsque toutes les parties parlent le même langage en matière de comportements contradictoires. Si les opérations savent exactement quoi Authentification forcée est et voit cela mentionné dans un rapport de renseignement, ils savent peut-être exactement quelles mesures doivent être prises ou quels contrôles sont déjà en place concernant cet élément de renseignement. Cette standardisation des références ATT&CK dans les produits de renseignement peut améliorer considérablement l'efficacité et garantir une compréhension commune.
Simulation contradictoire et ATT&CK
Tester les techniques d'ATT&CK par rapport à l'environnement est le meilleur moyen de :
Le processus de simulation contradictoire n'est pas étranger à de nombreux environnements. Lorsqu'elles font appel à des testeurs d'intrusion pour tester l'environnement, les entreprises procèdent à des tests de simulation contradictoires. Il en va de même pour les organisations qui disposent d'équipes rouges internes ou qui exécutent des engagements d'équipe violets. L'application des activités de ces engagements aux techniques ATT&CK permet aux défenseurs de mieux comprendre les résultats. Au lieu de signaler des échecs dans la détection de certaines activités, les rapports issus de tests stylo et d'équipes rouges peuvent contenir un meilleur contexte pour appliquer leurs activités directement aux contrôles opérationnels, aux outils défensifs et aux procédures. Cela permet aux défenseurs de prendre plus facilement les mesures appropriées à la suite des signalements.
Les simulations peuvent être conçues pour refléter des outils et des techniques connus pour être également utilisés par des acteurs spécifiques. Cela peut être particulièrement utile lorsque vous essayez d'évaluer l'efficacité de certains adversaires face aux contrôles présents dans l'environnement.
En outre, il existe des outils qui fournissent des mécanismes permettant de tester certaines techniques directement dans l'environnement et qui sont déjà alignés sur ATT&CK. Des outils commerciaux tels que Vérodine, SafeBreach, et QI d'attaque offrent la possibilité d'effectuer une simulation contradictoire alignée sur ATT&CK. Il existe quelques options open source pour effectuer des simulations contradictoires et également s'aligner sur ATT&CK (répertoriées ci-dessous). Comme toujours, soyez prudent lorsque vous effectuez des simulations contradictoires sur des réseaux de production dont l'étendue des ramifications potentielles n'est pas entièrement comprise.
Le processus d'utilisation de ces outils est simple :
- Simuler — Choisissez les critères de simulation en fonction des tests souhaités, puis exécutez l'outil ou exécutez la technique manuellement
- Chasse — Examinez les journaux et les résultats de l'outil pour trouver des preuves de l'activité simulée ; notez les attentes manquées grâce à des contrôles de détection ou préventifs
- Détecter — Ajoutez de nouvelles détections ou mesures d'atténuation en fonction des résultats ; notez également les éventuelles lacunes en matière de visibilité et les outils utilisés pour la détection ou l'atténuation
Meilleures pratiques d'utilisation d'ATT&CK
Voici une liste des meilleures pratiques pour ATT&CK :
Utiliser tactiques dont les techniques sont ambiguës ou difficiles à cerner
PARTAGEZ méthodes de détection et d'atténuation découvertes
PARTAGEZ tactiques et techniques des comportements observés des attaquants
Effet de levier Intégration d'ATT&CK dans les outils existants
Suivez recherches externes sur les détections et les mesures d'atténuation
Encourager fournisseurs et prestataires de services pour ajouter un support pour ATT&CK là où cela serait utile
Difficultés liées à l'utilisation d'ATT&CK
L'utilisation d'ATT&CK ne va pas sans difficultés. Il est bon de les garder à l'esprit lorsque vous utilisez ATT&CK.
Toutes les techniques ne sont pas toujours malveillantes
- Exemple : Données provenant d'un lecteur réseau partagé (T1039)
- Clé de détection : Comment cette technique est-elle invoquée ?
Certaines techniques sont répertoriées sous plusieurs tactiques
- Exemple : Piratage des commandes de recherche DLL (T1038)
- Apparaît dans les rubriques Tactiques de persévérance, d'escalade des privilèges et d'évasion de la défense
- Certaines techniques, comme celle-ci, peuvent être utilisées pour de multiples cas d'utilisation et sont utiles à plusieurs étapes d'attaque
Toutes les techniques ne sont pas faciles à détecter
- Exemple : Lien de spearphishing (T1192)
- Clé de détection : Autres événements liés à la réception d'e-mails
Certaines techniques ont de nombreuses méthodes d'exécution possibles
- Exemple : Dumping des titres de compétences (T1003)
- Clé de détection : Développez des méthodes connues pour évoquer la technique et qualifiez-les toutes de Credential Dumping
- MITRE publiera des sous-techniques pour aider à résoudre ce problème
Outils et ressources ATT&CK
Voici une liste d'outils et d'autres ressources qui utilisent ATT&CK. Certains d'entre eux ont été mentionnés précédemment mais sont fournis ici pour faciliter la consultation. Pour ajouter quelque chose à cette liste, envoyez un e-mail à marketing@anomali.com.
Navigateur ATT&CK
ATT&CK Navigator est un excellent outil à utiliser pour cartographier les contrôles par rapport aux techniques ATT&CK. Des couches peuvent être ajoutées pour montrer spécifiquement les contrôles de détection, les contrôles préventifs ou même les comportements observés. Le navigateur peut être utilisé en ligne pour des maquettes ou des scénarios rapides ou cela peut être téléchargés et configuré en interne comme solution plus permanente.
Navigateur MITRE ATT&CK
Exemple de détails inclus dans l'aide-mémoire ATT&CK Logging de Malware Archeology
Aide-mémoire sur la journalisation ATT&CK de Malware Archeology pour Windows
Les professionnels de confiance de Malware Archeology fournissent un certain nombre de fiches de triche sur la journalisation de Windows pour aider les défenseurs à détecter les activités malveillantes dans les journaux. Ils en ont une dédiée à la recherche de techniques auprès de MITRE ATT&CK.
À propos de Metta
Metta est un projet open source d'Uber qui réalise une simulation contradictoire et est aligné sur MITRE ATT&CK.
Référentiel MITRE Cyber Analytics (CAR)
Référentiel MITRE Cyber Analytics (CAR)
MITRE dispose d'une ressource appelée Cyber Analytics Repository (CAR), qui est un site de référence pour diverses analyses utiles pour détecter les comportements dans MITRE ATT&CK.
Caldeira MITRE
Caldera est un outil de simulation d'adversaire automatique open source basé sur MITRE ATT&CK.
Capture d'écran de MITRE Caldera
ATT&CK Enterprise Matrix dans un tableau public par Cyb3rpanda
Tableau de bord ATT&CK par Cyb3rpanda
Cyb3rpanda a chargé ATT&CK dans une instance publique de Tableau pour faciliter le pivotement et le filtrage.
L'équipe Red Atomic Red de Red Canary
Atomic Red Team est un outil open source de Red Canary pour simuler des comportements contradictoires mappés à MITRE ATT&CK. Plus d'informations disponibles à l'adresse suivante : https://atomicredteam.io/
Exemple de test d'Atomic Red Team
Visionneuse de playbooks de Palo Alto Unit 42
Visionneuse de playbooks Palo Alto Unit 42
Le groupe Unit 42 de Palo Alto a publié un visualiseur de playbooks gratuit qui montre les comportements contradictoires connus d'une poignée de groupes de menaces liés à MITRE ATT&CK.
Automatisation de Endgame Red Team
Red Team Automation est un outil open source d'Endgame qui teste les comportements malveillants calqués sur le modèle de MITRE ATT&CK.
Liste actuelle des techniques prises en charge par Red Team Automation (RTA)
Exemple d'Anomali Cyber Watch
Cyber Watch Anomali
Ce rapport hebdomadaire gratuit inclut les principaux développements de la semaine en matière de sécurité et de menaces. Le rapport inclut les techniques IOC et ATT&CK pertinentes pour chaque histoire incluse dans le briefing.
Résumé
MITRE a apporté une contribution significative à la communauté de la sécurité en nous fournissant ATT&CK ainsi que les outils et ressources associés. Cela n'aurait pas pu arriver à un meilleur moment. Alors que les attaquants trouvent des moyens d'être plus furtifs et d'éviter d'être détectés par les outils de sécurité traditionnels, les défenseurs doivent modifier leur approche de la détection et de la défense. ATT&CK modifie notre perception des indicateurs de bas niveau tels que les adresses IP et les noms de domaine et nous permet de voir les attaquants et nos défenses à travers le prisme des comportements. Cette nouvelle perception ne signifie pas pour autant que les résultats seront faciles. L'époque facile des listes de blocage et des filtres simples est pratiquement révolue. La voie de la détection et de la prévention des comportements est beaucoup plus difficile que les outils du passé qui consistaient à « tirer et oublier ». De plus, les attaquants s'adapteront certainement à mesure que les défenseurs apporteront de nouvelles capacités. ATT&CK fournit un moyen de décrire les nouvelles techniques qu'ils développent et, espérons-le, de garder les défenseurs au courant.
.jpeg)
