Pourquoi faut-il s’intéresser à MITRE ATT&CK ?
Dans cet article, nous vous expliquerons comment votre entreprise peut tirer pleinement parti du cadre de MITRE ATT&CK®. Nous vous dévoilerons comment nous utilisons MITRE en interne, chez F-Secure.
Cet article vous expliquera :
- Ce qu’est MITRE ATT&CK®, et son importance dans le domaine de la cyber sécurité
- Comment MITRE ATT&CK® peut vous aider à défendre votre entreprise contre les techniques de piratage couramment utilisées
Qu’est-ce que MITRE ?
MITRE est une société américaine à but non lucratif. Elle fournit des conseils techniques et d’ingénierie depuis plus de soixante ans. Elle ne travaillait, au départ, qu’avec le gouvernement américain (elle est financée par le gouvernement fédéral). Désormais, elle fournit des « solutions de pointe destinées à répondre aux problèmes les plus urgents auquel le monde est confronté ». La cyber sécurité figure sur la liste.
Le cadre MITRE ATT&CK®
MITRE ATT&CK® est une base de connaissances, continuellement mise à jour, accessible partout dans le monde : elle liste les cyber criminels et les groupes parrainés par des États, ainsi que les tactiques, techniques et procédures qu’ils utilisent. MITRE ATT&CK® aide ainsi les organisations, publiques ou privées, à détecter les menaces et les groupes de pirates informatiques les plus persistants. Les solutions EDR et MDR de F-Secure utilisent MITRE ATT&CK® pour sa terminologie et ses descriptions normatives.
Comment les équipes de défense peuvent tirer parti de MITRE ATT&CK®
Les équipes défensives – qu’elles soient tactiques, stratégiques ou opérationnelles – peuvent s’appuyer sur MITRE ATT&CK® pour mener des activités concrètes, comme la création de règles de prévention et de détection, ou encore pour guider les décisions relatives à l’architecture et aux politiques de sécurité de l’entreprise.
L’un des plus grands problèmes liés au cadre MITRE ATT&CK® concerne le nombre de techniques répertoriées : il peut être difficile, pour les équipes défensives, de savoir sur quelles techniques se focaliser en priorité. Le tableau ci-dessous n’offre qu’un aperçu des centaines de techniques recensées :
Image 1 – Face à tant de techniques, il peut être difficile de savoir par où commencer.
Pour tirer pleinement parti de MITRE ATT&CK®, vous devez vous focaliser sur les éléments qui donneront à votre équipe les meilleures chances de détecter les attaques en conditions réelles. Partant de ce constat, l’équipe F-Secure prend en compte plusieurs paramètres :
En conditions réelles
Dans la majorité des attaques réelles, nous constatons que les pirates informatiques n’utilisent qu’un sous-ensemble des techniques MITRE.
MITRE ATT&CK® contient 59 techniques de persistance différentes. Pourtant, la plupart des attaques rencontrées par F-Secure ne concernent que sept d’entre elles. Dans un monde parfait, les équipes de sécurité devraient couvrir toutes les techniques. Cependant, avec des ressources limitées, il est important de donner la priorité aux techniques les plus couramment utilisées, pour augmenter vos taux de détection et votre efficacité globale. L’analyse des rapports d’intrusions informatiques rendus publics peut s’avérer très utile pour déterminer quelles techniques les pirates informatiques utilisent le plus couramment.
Le problème du bruit
De nombreuses techniques de piratage répertoriées par MITRE imitent des activités légitimes. Elles peuvent donc amener avec elles des faux positifs. Par exemple, l’utilisation de Rundll32 est courante dans de nombreuses organisations. Elle produit de ce fait beaucoup trop de « bruit » pour faire l’objet d’un monitoring manuel. Mshta, à l’inverse, est utilisée moins souvent, et donc plus facile à repérer.
Le bruit reste précieux : traité et contextualisé, il peut permettre de détecter des attaques.
Le machine learning et les mécanismes de contextualisation élargie peuvent capter des signaux significatifs dans le bruit et calculer un score de risque. Ils ne déclencheront ensuite une alerte que si plusieurs autres activités connexes viennent confirmer un contexte suspect. Votre équipe gagnera donc en efficacité si elle se focalise sur les détections à haut risque et qu’elle laisse le machine learning se charger des activités cachées dans le bruit.
Image 2 – Contexte plus large d’une attaque
Collecte et analyse
La détection de chaque technique repose sur l’analyse de différents ensembles de données spécifiques. Dans certains cas, il n’est pas possible de collecter ces données, soit pour des raisons techniques, soit pour des raisons de performances. En vérifiant les possibilités de télémétrie, vous pourrez rapidement inclure ou exclure des techniques MITRE dans votre spectre de détection. N’oubliez pas non plus les coûts de stockage et d’analyse associés à chaque ensemble de données télémétriques, car ils peuvent s’avérer prohibitifs. Par exemple, les données de processus comptent parmi les ensembles de données les plus utiles car elles peuvent vous montrer ce qu’un pirate informatique a exécuté sur un système. Les logs de firewall, en revanche, bien qu’utiles, peuvent être d’un volume nettement plus important et ne représenter qu’un intérêt marginal.
Killchain : la qualité, plus que la quantité
Lorsqu’elles testent les techniques MITRE, les équipes de sécurité informatiques cherchent souvent à savoir si elles « réussissent » ou « échouent » à détecter les TTP individuellement. Elles oublient que les attaques du monde réel se déroulent en plusieurs phases et impliquent plusieurs activités. En conditions réelles, il suffit de détecter une seule partie d’une killchain multi-étapes pour ensuite lancer une enquête et découvrir toutes les activités connexes. Par exemple, vous pourriez ne pas remarquer un pirate informatique utilisant un tout nouvel exploit de navigateur, mais repérer ensuite le service auquel il a recours pour établir sa persistance sur le réseau : votre équipe serait alors alertée et déclencherait une enquête approfondie. La détection est donc plus efficace si vous vous focalisez sur les activités les plus couramment utilisées dans la killchain et présentant une haute fidélité. Vous devrez toutefois veiller à ce que votre équipe soit en mesure de trier ces détections et de réagir efficacement lorsqu’elles se produisent.
Cas d’utilisation à privilégier
Nous vous recommandons de vous focaliser sur les principales techniques d’attaque :
- Examinez les activités relatives aux connexions des utilisateurs, en particulier des administrateurs
- Recherchez l’utilisation de procédés suspects (Rundll32, Powershell, Mshta, Regsvr32)
- Procédez à l’agrégation des données de persistance (services, registres, tâches programmées) pour trouver des anomalies
- Surveillez les anomalies de la mémoire, comme les injections de processus
- Neutralisez les logiciels malveillants connus signalés par les antivirus ou équivalents
La question que vous vous posez désormais est sans doute : de quels outils ai-je besoin pour permettre à mon équipe de détecter ces techniques MITRE ATT&CK® ?
Nous aborderons cette question dans notre prochain article, consacré aux évaluations MITRE ATT&CK®.
Catégories