2024 Évaluations MITRE ATT&CK: Avec Trend Vision One™, les attaquants ne peuvent se cacher nulle part
MITRE ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge (tactiques, techniques et connaissances communes des adversaires). Il s'agit d'une base de connaissances publique sur les tactiques et techniques utilisées par les assaillants. Cette base peut être utilisée pour développer des modèles et méthodologies spécifiques à chaque cybermenace.
Cette base de connaissances a été conçue selon les trois concepts suivants :
Elle se positionne du point de vue de l'adversaire
Elle suit l'utilisation réelle de l'activité grâce à des cas d'utilisation empirique
Le niveau d’abstraction est approprié pour faire le lien entre une action offensive et une éventuelle défense
MITRE ATT&CK aide le secteur à définir et à normaliser la manière de décrire l'approche d'un assaillant. Ce cadre collecte et catégorise les tactiques, techniques et procédures d'attaque (TTP) courantes, puis organise ces informations dans un référentiel.
Le 3e concept, qui nécessite un niveau d’abstraction approprié pour faire le lien entre la méthode d’attaque et les contre-mesures de défense qui peuvent être mises en œuvre, est particulièrement important lorsque vous comprenez la structure d’ATT&CK. Les informations sont organisées comme des informations avec un degré élevé d’abstraction, et non des informations individuelles/spécifiques telles que les adresses IP, les URL et les informations de signature des malwares.
La base du concept de facteurs est d'analyser les attaques en fonction de leurs TTP (tactiques, techniques et procédures). Principalement, les connaissances sur les techniques sont acquises et organisées.
Tactique : Objectif à court terme d'un attaquant
Technique : Les moyens pour un attaquant d'atteindre un objectif
Procédure : Une méthode spécifique pour qu'un attaquant utilise des techniques
Ce cadre peut être utilisé pour expliquer comment les adversaires se comportent, ce qu'ils essaient de faire et comment ils essaient de le faire.
Un langage et un cadre communs et normalisés permet de communiquer, comprendre et répondre aux menaces aussi efficacement que possible.
MITRE ATT&CK est devenu une base de connaissances essentielle pour les cyberdéfendeurs, améliorant ainsi l'efficacité de la sécurité et les temps de réponse. L'évaluation annuelle MITRE évalue les innovations du secteur pour fournir les solutions nécessaires pour détecter et répondre à l'évolution du paysage des menaces.
La ressource originale est disponible ici
Ce type de framework est extrêmement utile pour les professionnels de la sécurité de l'information, car il les tient informés des nouvelles techniques d'attaque et empêche les attaques de se produire en premier lieu.
Les organisations utilisent ATT&CK pour normaliser leurs échanges dans la communauté, les tests de défense et les évaluations de produits/services.
L'évaluation MITRE ATT&CK offre de la transparence aux clients et des scénarios d'attaque réels. Cela permet aux clients d'évaluer activement les produits de sécurité pour se protéger des dernières avancées des attaquants en fonction de leurs objectifs principaux. L'évaluation fait appel à une attaque simulée pour s'assurer que les clients peuvent répondre aux menaces actuelles. Utiliser des techniques, outils, méthodes et objectifs inspirés de ceux d'un attaquant.
Les simulations sont exécutées dans un environnement de laboratoire contrôlé pour garantir des tests justes et précis. Les techniques d'attaque sont ensuite utilisées de manière logique, étape par étape, pour explorer l'étendue de la couverture ATT&CK.
Les évaluations ne sont pas une analyse concurrentielle. Il n’existe pas de scores, de classements ou de notations. Ils montrent plutôt comment chaque fournisseur aborde la détection des menaces dans le contexte de la base de connaissances ATT&CK
L'évaluation offre aux acheteurs et aux clients de solutions de cybersécurité une perspective impartiale pour évaluer les produits de sécurité afin de s'armer contre les innovations des attaquants.
Par exemple, en 2022, l’évaluation a émulé des flux opérationnels de Wizard Spider et de Sandworm pour simuler des attaques similaires au comportement sur le terrain de ces groupuscules. Une fois la simulation exécutée, les résultats ont été traités et rendus publics, y compris la méthodologie
Le cadre MITRE ATT&CK est structuré en plusieurs matrices, chacune adaptée à des environnements spécifiques où les cybermenaces opèrent. Ces matrices catégorisent les tactiques, techniques et procédures (TTP) utilisées par les attaquants, aidant ainsi les équipes de sécurité à améliorer leurs stratégies de défense.
La matrice la plus complète, couvrant les menaces dans les environnements Windows, macOS, Linux et cloud. Elle comprend des techniques telles que l’escalade des privilèges, le mouvement latéral et l’exfiltration des données.
Axé sur les menaces ciblant les appareils iOS et Android. Cette matrice détaille les techniques d'attaque telles que le vol d'identifiants, le piratage de réseau et la persistance des malware mobiles.
Traite les cybermenaces spécifiques aux environnements industriels, tels que les systèmes SCADA. Elle met en évidence les techniques utilisées pour perturber l'infrastructure critique, notamment l'exécution de commandes non autorisées et la manipulation de firmware.
ATT&CK présente une série de techniques représentant des actions pour qu'un attaquant atteigne un objectif. Les objectifs sont classés en tant que tactiques.
La tactique représente le « pourquoi » de la technique. C'est la raison pour laquelle un attaquant exécute une action. Une technique est le « moyen » pour qu'un attaquant atteigne un objectif en exécutant une action. Il représente également ce que l'attaquant acquiert.
Dans le domaine des entreprises, la tactique est la suivante :
Accès initial : Méthodes utilisées par les attaquants pour infiltrer un réseau, telles que le phishing, la compromission de la chaîne d’approvisionnement et l’exploitation d’applications accessibles au public.
Exécution : Techniques qui exécutent du code malveillant sur un système, y compris l’exécution de ligne de commande, le scripting et l’exploitation pour l’exécution d’un malware sur le client.
Persistance : Méthodes utilisées par les attaquants pour maintenir l'accès après la compromission initiale, comme la création de nouveaux comptes utilisateur, les modifications de clés de registre et les tâches planifiées.
Escalade de privilèges : Les adversaires obtiennent des autorisations de niveau supérieur, telles que l'exploitation des vulnérabilités, le dumping d’informations d'identification et la manipulation de jetons d'accès.
Contournement des défenses : Techniques pour contourner les mesures de sécurité, notamment la désactivation des outils de sécurité, l’obscurcissement de fichiers et l’injection de commandes dans les processus.
Accès aux informations d'identification : Méthodes pour détourner des informations d'identification, telles que l'enregistrement de clés, les attaques par force brute et le dumping d'informations d'identification.
Découverte : Tactiques utilisées pour recueillir des informations sur un système ou un réseau, comme l’analyse du réseau et l’identification des comptes.
Mouvement latéral : Techniques pour se déplacer entre les systèmes, à l’image des attaques de type pass-the-hash ou via le protocole RDP.
Collecte : Méthodes de collecte de données sensibles, y compris par capture d'écran, enregistrement de clés et recueil de données provenant de bases de données locales.
Exfiltration : Moyens de transférer des données détournées hors d’un réseau, comme l’exfiltration chiffrée et le piratage des espaces cloud de stockage.
Impact : Techniques visant à perturber les opérations, notamment le déploiement de ransomware, la destruction de données et les attaques par déni de service.
Le cadre MITRE ATT&CK catégorise les techniques utilisées dans les cyberattaques. Les techniques clés sont les suivantes :
Accès initial – Méthodes telles que le phishing et l’exploitation d’applications publiques pour obtenir une passerelle d’intrusion.
Exécution : exécution de code malveillant via une ligne de commande ou un script.
Persistance : pérennité de l'accès par le biais de modifications de clés de registre ou de tâches planifiées.
Escalade des privilèges : obtention de privilèges plus élevés à l'aide d'exploits ou de dumping d'informations d'identification.
Contournement de la défense – Contourner la sécurité grâce à l’obfuscation ou en désactivant les outils.
Mouvement latéral : propagation sur les réseaux via RDP ou pass-the-hash.
Exfiltration : vol de données à l'aide de piratage d’environnements cloud ou de transferts chiffrés.
Comprendre ces techniques aide les organisations à renforcer les défenses de sécurité.
Les tactiques sont la description de ce que les attaquants essaient d'atteindre.
Les tactiques sont l’équivalent des chapitres d'un livre. Un RSSI peut décrire une histoire qu'il veut raconter avec les tactiques de haut niveau utilisées dans une attaque, puis se référer aux techniques pour raconter comment l'attaque à été menée, ce qui fournit des détails supplémentaires
L'objectif de l'attaquant était d'obtenir un accès initial au réseau. En assurant une compromission par téléchargement furtif de malware et suite à un lien de spear-phishing et des interactions de confiance avec la victime, l'attaquant a obtenu un accès initial.
Remarque : Le framework répertorie toutes les façons connues pour un attaquant d’obtenir un accès initial.
La solution cartographie les produits qui sont associés au cadre ATT&CK, en montrant les tactiques et techniques pour chaque malware détecté, ce qui montre comment nous pouvons vous aider à assurer une détection et une réponse pertinentes aux menaces
Les contrôles préventifs, élément important d'une stratégie de neutralisation des menaces, renforce la résilience en cas d'attaque. Les contrôles préventifs ont été testés lors des dernières évaluations, avec la possibilité de déjouer les risques rapidement, ce qui permet aux organisations de consacrer plus de temps à des problèmes de sécurité plus difficiles.
MITRE ATT&CK est conçu pour fournir un niveau de granularité plus approfondi dans la description de ce qui peut se produire pendant une attaque, ce qui offre plus de précision qu’une analyse de la kill chain (chaîne d’attaque)
Il y a sept étapes dans la Kill chain:
Reconnaissance
Intrusion
Exploitation
Exécution des privilèges
Mouvement latéral
Obfuscations / Contournement des expertise post–incident
Dénis de service
Exfiltration
MITRE ATT&CK vous permet d'organiser les technologies du point de vue de l'attaquant et de déterminer les contre-mesures de défense. Par conséquent, les cas d'utilisation suivants sont décrits.
Simulation d’un assaillant. À partir des groupes de la base de données, déterminez les techniques et les scénarios d'attaque utilisés par un attaquant spécifique, détectez une campagne d'attaques et vérifiez s'il existe des mesures défensives contre ces attaques.
Créez des scénarios d'attaque pour mener des exercices de cybersécurité. La Red team joue le rôle de l'assaillant, la Blue team joue le rôle de la défense et la White team joue un rôle de contrôle et d’arbitre.
Au lieu de l'IOC et des informations sur les menaces connues, utilisez la base de connaissances d'ATT&CK et analysez les techniques et schémas d'action inconnus pour développer de nouvelles contre-mesures.
Identifiez ce qui est déficient dans les contre-mesures existantes d’une organisation. Déterminez les priorités d'investissement.
Déterminez l'efficacité de la détection, de l'analyse et de la réponse aux menaces par le SOC.
L'analyste peut comprendre en profondeur les actions d'un groupe d'attaquants et les signaler. Il est possible d'identifier clairement le type d'outils qu'un groupe spécifique a utilisé, le type de technologie et la procédure que le groupe a utilisée lors du démarrage des attaques, en récupérant les données de la base de données.
Bien qu'il s'agisse d'un domaine professionnel, le site Web de MITRE ATT&CK fournit également une application appelée ATT&CK Navigator, qui vous permet de créer une matrice selon les objectifs décrits ci-dessus.
En 2024, MITRE Engenuity a mis la barre plus haut, en simulant les techniques d’attaque modernes les plus réelles à ce jour. Trend Micro s’en est particulièrement sien sorti lors de cet exercice.
Pour la cinquième fois consécutive, les performances 2024 de Trend lors des MITRE Engenuity ATT&CK Evaluations ont été remarquables, avec notamment des scores les plus élevés jamais enregistrés jusqu’à présent.
Avec plus de 161 milliards de menaces bloquées en 2023, soit une augmentation de 10 % par rapport à 2022, une meilleure visibilité sur les risques est essentielle pour arrêter de manière proactive même les attaques les plus avancées.
Les évaluations de cette année se sont concentrées sur les tactiques, les techniques et les procédures (TTP) de DPRK, CL0P et LockBit, trois des ransomwares les plus sophistiqués et dangereux.