MITRE ATT&CK : comment élaborer une stratégie de défense
Si les experts de la « Red Team », les équipes de réponse aux incidents et les analystes du renseignement sur les cybermenaces ont parfaitement compris l'utilité du Framework MITRE ATT&CK, ce n'est pas encore le cas des directeurs métier ou des chefs d'entreprise.
Utilisons une analogie pour introduire le concept et faire en sorte qu'il soit facilement compréhensible par l'ensemble des collaborateurs d'une entreprise.
ATT&CK est un Framework d'analyse des menaces développé par MITRE. Il fournit une présentation structurée de chaque phase d'attaque (les tactiques), de la méthodologie et des outils susceptibles d'être utilisés lors de chacune de ces phases (les techniques), ainsi que des mécanismes de détection et de remédiation (plan d'action) applicables à chacune des techniques.
La finalité et l'intérêt de MITRE ATT&CK ne sont ainsi pas évidents pour tout le monde.
Imaginez que « vous » êtes l'entraîneur d'une équipe de football de Ligue 1.
Lire aussi : Sécurisation des identifiants et protection contre les attaques par déplacement latéral
MITRE ATT&CK est un outil qui vous présente une vision structurée et détaillée des stratégies de jeu de vos adversaires. Il détaille leurs techniques (combinaisons de mouvements des joueurs) et leurs tactiques (phases de jeu successives depuis les lignes « arrière » jusqu'à la ligne de tir). Il fournit en outre des fonctions de détection en temps réel pour chaque phase de jeu, et des contre-mesures à appliquer à chaque mouvement des joueurs lors de chacune des phases afin de les empêcher de marquer.
En tant qu'entraîneur, cet outil vous servirait à deux fins :
1 - Se préparer en vue du prochain match important : votre équipe affronte le Real Madrid dans deux semaines. Il vous serait alors possible de télécharger toutes les données MITRE ATT&CK relatives à ce club, et de créer un programme d'entraînement ainsi qu'un plan de jeu spécifiques pour votre équipe en utilisant MITRE ATT&CK en tant que langage structuré pour communiquer avec les joueurs. Le fait que votre équipe puisse « lire » à livre ouvert et en temps réel dans le jeu du Real Madrid lui permettrait de détecter et de comprendre chacune des phases d'attaque de ses adversaires, et de les contrecarrer.
S'il s'avérait impossible de les stopper lors de la phase initiale, l'équipe pourrait anticiper la phase suivante à partir de la position des joueurs sur le terrain. Grâce à l'application cohérente de cette stratégie défensive, le Real Madrid ne franchirait sans doute jamais la ligne de milieu de terrain et ne se retrouverait jamais en position de tirer.
2 - Travailler sur les faiblesses défensives : en tant qu'entraîneur, vous auriez la possibilité d'ingérer dans votre Framework MITRE ATT&CK le film de tous les matchs disputés par votre équipe au cours de la saison afin d'en retirer des enseignements utiles. Vous pourriez identifier les points faibles récurrents dans votre défense, par exemple en réalisant que la plupart des buts subis s'appuient sur des tactiques de milieu de terrain (phases successives) que vous n'avez pas réussi à détecter et à empêcher suffisamment tôt. L'identification de ces faiblesses, et leur transposition en techniques et tactiques, vous permettraient de mettre en place un programme d'entraînement simple pour l'équipe.
Lire aussi : Cybersécurité : 8 personnalités qui ont marqué 2024
C'est exactement ce que MITRE ATT&CK est censé accomplir dans la chaîne de cyberdéfense.
- Se préparer en vue de la prochaine menace importante : si le CERT (Computer Emergency Response Team) national publie un rapport sur une campagne d'attaque particulièrement agressive ciblant le secteur d'activité d'une entreprise, l'ingestion de ce rapport dans le Framework
MITRE ATT&CK permet aux équipes de sécurité de traduire immédiatement cette menace en actions et leur fournit des réponses aux questions qu'elles se posent.
Par exemple : l'infrastructure est-elle vulnérable à cette menace ? Quels éléments déployer dans le SOC pour détecter les différentes phases ? Que doivent déployer les SecOps au niveau du périmètre pour empêcher la phase d'exécution initiale ? Quelles modifications apporter à l'infrastructure pour bloquer les phases d'exécution finales ? L'équipe de sécurité sera ainsi mieux préparée à affronter la prochaine menace.
Et si la menace a déjà infiltré l'entreprise, l'équipe de réponse aux incidents saura à quelle phase elle en est et quelle action entreprendre pour stopper l'attaque.
- Travailler sur ses points faibles : l'équipe de sécurité dispose ici aussi d'un « film » sur lequel s'appuyer. Il s'agit des incidents de sécurité passés (avec les artefacts associés) et des événements précédemment observés dans le SOC (même s'ils n'ont pas été signalés comme des incidents au moment où ils se sont produits). L'analyse des observations et incidents passés à l'aide de MITRE ATT&CK met immédiatement en lumière les tactiques et techniques les plus récurrentes et efficaces utilisées à l'encontre de l'entreprise par ses adversaires.
Cette compréhension permet de créer un plan simple pour renforcer ses défenses à l'échelle mondiale. En communiquant à tous les départements les contre-mesures importantes à appliquer via le langage partagé structuré du Framework ATT&CK, les professionnels de la sécurité peuvent élaborer un plan cohérent et définir les priorités pour tous les membres de l'équipe (SOC, réponse aux incidents, SecOps, gestion du risque, etc.)
Sur le même thème
Voir tous les articles Cybersécurité