Comment caractériser les menaces internes sur les systèmes informatiques ? En s’appuyant sur ATT&CK. Tel est en tout cas le parti de MITRE, l’organisation à l’origine de ce framework axé sur les menaces externes. Elle en a repris les TTP (techniques et tactiques d’attaque) et les a confrontés à des indicateurs relevés en situation réelle par un panel de grandes entreprises.
Constat : les méthodes les plus évidentes – et les plus simples – sont aussi les plus exploitées. C’est peut-être, tempère MITRE, lié au fait qu’on les détecte plus facilement…
Les TTP suivants ont beaucoup d’exemples documentés, chez de multiples entreprises du panel :
– Exploitation de comptes légitimes (autant cloud qu’Active Directory)
– Collecte de données sur des dépôts centralisés (SharePoint notamment)
– Exfiltration sur des supports physiques et par le biais de services web
Les TTP suivants sont d’un usage « modéré » (beaucoup d’exemples dans peu d’entreprises ou vice versa) :
– Création de comptes
– Suppression de traces sur l’hôte
– Agrégation de données en local et archivage
– Exfiltration vers du stockage cloud
– Utilisation de logiciels d’accès distant
On n’identifie souvent pleinement une menace que lorsque l’enquête touche à sa fin, affirme MITRE. On tend par ailleurs à manquer de contexte pour faire la différence avec des faits de négligence. Les menaces internes sont en outre moins manifestes : par rapport aux menaces externes, elles impliquent moins souvent de la reconnaissance, la diffusion de malwares ou l’élévation de privilèges.
Photo d’illustration © pinkeyes – Adobe Stock
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…