Menu

Mitre ATT&CK Découvrez

Mitre ATT&CK est un cadre de modélisation des menaces qui peut être utilisé pour identifier, visualiser et analyser les modèles d’attaque dans une organisation. L’outil fournit une vue d’ensemble des menaces auxquelles une organisation est confrontée en les organisant en catégories basées sur leurs types d’activité. Il contient également une série d’outils qui peuvent aider les organisations à mettre en œuvre les meilleures pratiques pour se protéger des cybermenaces. Par exemple, Mitre ATT&CK Enterprise peut être utilisé pour automatiser les évaluations de sécurité contre des systèmes et des applications spécifiques au sein des entreprises.

Qu’est-ce que Mitre ATT&CK ?

ATT&CK signifie “Adversarial Tactics Techniques and Common Knowledge”.

Mitre ATT&CK est un cadre de modélisation des cybermenaces. Il fournit un langage commun pour discuter et analyser les menaces potentielles pour les systèmes d’information. Le cadre Mitre ATT&CK fournit une approche structurée pour identifier, hiérarchiser et atténuer les risques associés à l’utilisation de technologies spécifiques dans l’environnement d’une organisation.

Le terme « attaque » désigne toute action qui viole ou compromet la confidentialité, l’intégrité ou la disponibilité des actifs des systèmes d’information (y compris les personnes). Une attaque peut être menée par un individu ou un groupe avec une intention malveillante ; elle peut également être involontaire en raison d’erreurs commises lors des activités de développement ou de configuration (également appelées « erreurs »). L’objectif de ce projet n’est pas nécessairement de détecter les attaques contre votre système – il s’agit aussi de comprendre comment les choses peuvent mal tourner afin de les empêcher de se produire en premier lieu !

En outre, ATT&CK est un projet open source, sous licence GPLv3. Le code est disponible sur GitHub.

Pourquoi MITRE a-t-il développé ATT&CK ?

MITRE Corporation est une organisation à but non lucratif qui gère trois centres de recherche et développement financés par le gouvernement fédéral (FFRDC) ainsi qu’un consortium industriel, le Cyber Independent Testing Laboratory (CITL).

La mission de MITRE est d’assurer la supériorité informationnelle de l’armée de l’air américaine en résolvant ses problèmes les plus urgents par le biais de recherches innovantes.

La matrice Mitre ATT&CK, ou ATT&CK Matrix, a été développé par MITRE en réponse aux demandes de clients du gouvernement américain qui souhaitaient mieux comprendre les comportements adverses et comment ils opèrent dans leurs réseaux pour identifier les vulnérabilités potentielles avant qu’elles ne puissent être exploitées.

Le cadre est constitué de modules distincts qui décrivent le mode de fonctionnement des adversaires à un niveau supérieur à celui des vulnérabilités, des techniques spécifiques ou des logiciels malveillants particuliers. Il est destiné à être utilisé par les défenseurs lorsqu’ils évaluent leur position de sécurité et créent des stratégies pour prévenir les attaques.

Quelles sont les catégories de la matrice classées par Mitre ATT&CK ?

Les catégories de la matrice sont classées par le framework Mitre ATT&CK. Le cadre se compose de catégories, de techniques et de tactiques.

Les catégories sont divisées en deux groupes : la phase de pré-attaque et la phase d’attaque.

La phase de pré-attaque comprend la reconnaissance, le balayage et le sondage (découverte de l’hôte), le développement de l’exploit et les méthodes de livraison.

Contrairement à ces étapes au cours desquelles un attaquant démontre son intention de s’en prendre à un système ou un réseau cible, pendant l’attaque, il utilise des outils tels que des logiciels malveillants qui lui permettent d’obtenir un accès par divers moyens, notamment des courriels d’hameçonnage qui incitent les utilisateurs à cliquer sur des liens les menant directement au téléchargement de logiciels malveillants sans même savoir ce qui vient de se passer !

Le deuxième groupe, la phase d’attaque, comprend le mouvement latéral, l’exfiltration de données, la persistance (établissement d’un pied sur la cible) et les activités de post-exploitation. Ces phases sont utilisées lorsqu’un attaquant obtient l’accès au système ou au réseau qu’il souhaite utiliser comme point d’entrée dans un autre réseau ou système. Le but est généralement de voler des informations confidentielles telles que des mots de passe ou de la propriété intellectuelle.

Comment utiliser ce référentiel pour détecter les cybermenaces ?

Vous pouvez utiliser ce référentiel pour détecter les cybermenaces, déterminer le type d’attaque et les outils utilisés par les attaquants. Vous pouvez également identifier les vulnérabilités exploitées par les attaquants.

En utilisant le référentiel de renseignements sur les cybermenaces, vous serez en mesure de :

Identifier les cybermenaces et les attaques en temps réel.

Détecter les nouveaux outils utilisés par les attaquants et leurs techniques pour compromettre les systèmes.

Identifier les nouvelles vulnérabilités exploitées par les attaquants et les outils utilisés pour mener les attaques.

Analyser les données de renseignement pour détecter les anomalies et identifier les menaces.

Quelles sont les différences entre PRE-ATT&CK et ATT&CK Entreprise ?

PRE-ATT&CK est un outil gratuit qui vous permet d’identifier les phases et les techniques d’attaque utilisées contre votre organisation. Pour ce faire, il parcourt l’internet et collecte des informations à partir de sources ouvertes telles que des forums, des blogs et des sites d’information. Ces données sont ensuite analysées par les modèles d’apprentissage automatique d’ATT&CK pour identifier les menaces et les risques possibles dans votre environnement.

ATT&CK Enterprise est un produit commercial qui offre des capacités avancées de renseignement sur les menaces, notamment une analyse prédictive et des recommandations d’atténuation basées sur le contexte unique de votre réseau et votre position de sécurité.

Quelles sont les actions possibles avec Mitre ATT&CK ?

Mitre ATT&CK est une collection d’actions qui peuvent être prises contre un système. Il ne s’agit pas seulement de rechercher des vulnérabilités et de les corriger, mais aussi d’attaquer un serveur via son service SSH ou d’exploiter une vulnérabilité non corrigée dans un logiciel installé sur votre serveur.

Le vecteur d’attaque le plus courant est l’utilisation d’attaques par brute force. Cela signifie qu’un pirate informatique (hacker) tentera d’accéder à votre serveur en essayant toutes les combinaisons possibles de nom d’utilisateur et de mot de passe jusqu’à ce qu’il en trouve une qui fonctionne.

La meilleure façon d’éviter les attaques par force brute est d’utiliser un mot de passe fort. Plus il est long et complexe, mieux c’est. Un bon mot de passe doit comporter au moins 15 caractères, des lettres majuscules et minuscules ainsi que des chiffres ou des caractères spéciaux comme !@#$%^&*()_+.

Quelles sont les limites de Mitre ATT&CK ?

La liste des actions valides est limitée. Vous ne pouvez effectuer que les actions qui relèvent de votre rôle d’utilisateur, et vous avez une limite maximale quant au nombre de partages que vous pouvez créer ou visualiser dans un laps de temps donné.

Le nombre de partages est limité à 2 000 par jour pour chaque compte utilisateur ; toutefois, cela ne s’applique pas si vous avez acheté une licence Enterprise (qui permet un accès illimité).

Il en va de même pour les catégories : il n’y a pas de limite quotidienne, mais seulement 300 par jour sans l’achat d’une licence Enterprise. Les composants et les vulnérabilités sont également soumis à des limites quant au nombre d’éléments que vous pouvez créer ou consulter dans un laps de temps donné – le premier n’a pas de limite quotidienne, tandis que le second en a une qui autorise jusqu’à 20 par jour sans acheter de licence Enterprise.

Le référentiel contient des données sur divers types de cyberattaques, notamment :

  • Les violations de données.
  • Infections par des logiciels malveillants.
  • Exploitations de vulnérabilités.

Avec Mitre ATT&CK, vous pouvez facilement détecter et prévenir les cyberattaques. Ce référentiel est une ressource précieuse pour tous ceux qui souhaitent mieux comprendre le paysage des menaces et améliorer leur posture de cybersécurité. Il offre également aux organisations la possibilité de collaborer sur des problèmes communs en partageant les meilleures pratiques entre les secteurs et les zones géographiques.