Cybersécurité : quelle base pour caractériser les menaces internes ?
MITRE, l'organisation qui porte le framework ATT&CK, tente de l'adapter à la caractérisation des menaces internes sur les réseaux informatiques.
Comment caractériser les menaces internes sur les systèmes informatiques ? En s'appuyant sur ATT&CK. Tel est en tout cas le parti de MITRE, l'organisation à l'origine de ce framework axé sur les menaces externes. Elle en a repris les TTP (techniques et tactiques d'attaque) et les a confrontés à des indicateurs relevés en situation réelle par un panel de grandes entreprises.
Constat : les méthodes les plus évidentes - et les plus simples - sont aussi les plus exploitées. C'est peut-être, tempère MITRE, lié au fait qu'on les détecte plus facilement...
Les TTP suivants ont beaucoup d'exemples documentés, chez de multiples entreprises du panel :
- Exploitation de comptes légitimes (autant cloud qu'Active Directory)
- Collecte de données sur des dépôts centralisés (SharePoint notamment)
- Exfiltration sur des supports physiques et par le biais de services web
Les TTP suivants sont d'un usage « modéré » (beaucoup d'exemples dans peu d'entreprises ou vice versa) :
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
- Création de comptes
- Suppression de traces sur l'hôte
- Agrégation de données en local et archivage
- Exfiltration vers du stockage cloud
- Utilisation de logiciels d'accès distant
MITRE s'en est tenu aux actions détectables dans les logs. Par à celles qui nécessitent de l'analyse de texte, comme les menaces d'un employé envers un autre.
On n'identifie souvent pleinement une menace que lorsque l'enquête touche à sa fin, affirme MITRE. On tend par ailleurs à manquer de contexte pour faire la différence avec des faits de négligence. Les menaces internes sont en outre moins manifestes : par rapport aux menaces externes, elles impliquent moins souvent de la reconnaissance, la diffusion de malwares ou l'élévation de privilèges.
Photo d'illustration © pinkeyes - Adobe Stock
Sur le même thème
Voir tous les articles Cybersécurité