Qu’est-ce que MITRE ATT&CK ?

Matrice Enterprise

La plus complète des trois, la matrice Enterprise, se concentre sur les tactiques et techniques d’attaque ciblant les systèmes Windows, macOS et Linux. De l’accès initial à l’exfiltration, en passant par l’exécution et la prise de contrôle, elle offre une vue granulaire des différents vecteurs d’attaque potentiels des réseaux d’entreprise. Elle permet ainsi aux équipes de sécurité d’identifier les vulnérabilités et d’améliorer leurs capacités de détection afin de mieux protéger leurs systèmes contre les menaces avancées.

Matrice Mobile

La matrice Mobile met l’accent sur les menaces ciblant les plateformes iOS et Android. Elle aborde par ailleurs les problématiques spécifiques aux environnements mobiles, telles que le détournement d’applications ou de fonctionnalités du système d’exploitation pour obtenir un accès non autorisé à des informations. Il s’agit d’un outil essentiel pour comprendre l’évolution des modes opératoires utilisés dans les environnements mobiles et aider les équipes de sécurité à développer des stratégies de renforcement de la protection des données sensibles hébergées sur ces appareils.

Matrice ICS

La matrice ICS présente les menaces ciblant les environnements industriels basés sur des technologies opérationnelles (OT). En mettant en évidence les tactiques et techniques utilisées pour perturber, contrôler ou endommager les processus de production, elle permet aux équipes de mieux comprendre les liens entre cybersécurité et sécurité physique. Il s’agit donc d’un outil essentiel pour mettre en œuvre des contremesures efficaces et protéger les infrastructures industrielles critiques.

Découvrez comment le framework MITRE ATT&CK catégorise les tactiques, techniques et procédures utilisées par les attaquants :Qu’est-ce que le framework MITRE ATT&CK?

Principaux composants du framework MITRE ATT&CK

Le framework MITRE ATT&CK est un outil de cybersécurité essentiel fournissant une matrice complète des tactiques, techniques et procédures utilisées par les attaquants. Il s’appuie sur le savoir collectif de toute une communauté pour permettre aux entreprises de renforcer leur posture de sécurité en les aidant à mieux comprendre et à neutraliser plus rapidement des cybermenaces en constante évolution.

Tactiques MITRE

Si l’on part du principe qu’une technique ou sous-technique ATT&CK constitue le « comment » d’une attaque, la tactique en est le « pourquoi », c’est à dire le but que l’attaquant cherche à atteindre, qu’il s’agisse d’accéder au système, d’exécuter un code malveillant ou d’exfiltrer des données.

Mais ces tactiques ne fonctionnent pas en vase clos. Elles forment un réseau interconnecté de modes opératoires potentiels que l’attaquant peut adapter et combiner en fonction de ses objectifs et de l’environnement ciblé.

Le framework catégorise ces tactiques de manière à refléter le cycle de vie d’une cyberattaque, de la phase de reconnaissance (au cours de laquelle les attaquants recueillent des informations sur la cible potentielle) à la phase d’impact (là où ils provoquent de réels dommages). Cette approche permet non seulement de mieux comprendre la progression des attaques, mais également d’élaborer des stratégies de défense multicouches répondant à chaque étape d’une cyberattaque.

Les équipes de sécurité disposent ainsi de toutes les connaissances nécessaires pour disséquer les tactiques, techniques et sous-techniques utilisées par les attaquants pour atteindre leurs objectifs. Ce niveau de granularité est essentiel pour mettre au point des mécanismes de détection précis et adapter ses stratégies de défense aux caractéristiques uniques de chaque menace.

En s’appuyant sur des études de cas et rapports d’incidents réels, le framework adopte par ailleurs une approche résolument pratique qui met l’accent sur l’application concrète de ces tactiques. Les équipes de sécurité peuvent exploiter ces informations pour simuler des scénarios d’attaque, tester leurs systèmes de protection et affiner leurs stratégies de réponse à incident. Cette approche leur permet ainsi d’évaluer efficacement leur niveau de préparation face à des attaques en constante évolution.

Tactiques de la matrice Enterprise

La matrice Enterprise répertorie les 14 tactiques suivantes :

• Reconnaissance : collecter des informations qui pourront servir à planifier de futures opérations.
• Développement de ressources : établir des ressources utiles en appui des opérations.
• Accès initial : infiltrer le réseau.
• Exécution : exécuter du code malveillant.
• Persistance de la menace : établir une présence durable.
• Escalade des privilèges : obtenir des droits d’accès plus étendus.
• Contournement des défenses : éviter d’être détecté.
• Accès aux identifiants : subtiliser des noms d’utilisateur et des mots de passe.
• Découverte : repérer et se familiariser avec l’environnement.
• Latéralisation : se déplacer dans l’environnement.
• Collecte : collecter des données utiles à l’atteinte de l’objectif.
• Commande et contrôle : communiquer avec les systèmes compromis pour les contrôler à distance.
• Exfiltration : voler des données.
• Impact : manipuler, bloquer ou détruire les systèmes et les données.

Tactiques de la matrice Mobile

La matrice Mobile répertorie les 14 tactiques suivantes :

• Accès initial : infiltrer l’appareil.
• Exécution : exécuter du code malveillant.
• Persistance de la menace : établir une présence durable.
• Escalade des privilèges : obtenir des droits d’accès plus étendus.
• Contournement des défenses : éviter d’être détecté.
• Accès aux identifiants : subtiliser des noms d’utilisateur, des mots de passe ou d’autres informations confidentielles permettant d’accéder aux ressources.
• Découverte : repérer et se familiariser avec l’environnement.
• Latéralisation : se déplacer dans l’environnement.
• Collecte : collecter des données utiles à l’atteinte de l’objectif.
• Commande et contrôle : communiquer avec les appareils compromis pour les contrôler à distance.
• Exfiltration : essayer de voler des données.
• Impact : manipuler, bloquer ou détruire les appareils et les données.
• Exploitation du réseau : intercepter ou manipuler le trafic réseau entrant ou sortant d’un appareil.
• Exploitations de services distants : contrôler ou surveiller un appareil par le biais de services à distance.

Tactiques de la matrice ICS (systèmes de contrôle industriels)

La matrice ICS répertorie les 12 tactiques suivantes :

• Accès initial : infiltrer le système de contrôle industriel.
• Exécution : exécuter du code ou manipuler sans autorisation les fonctions, les paramètres ou les données du système.
• Persistance de la menace : établir une présence durable dans l’environnement ICS.
• Escalade des privilèges : obtenir des droits d’accès plus étendus.
• Contournement : éviter les systèmes de sécurité.
• Découverte : localiser les informations pour identifier et évaluer les cibles de l’environnement.
• Latéralisation : se déplacer dans l’environnement ICS.
• Collecte : collecter des données et des informations sur l’environnement utiles à l’atteinte des objectifs.
• Commande et contrôle : communiquer avec les systèmes compromis, les contrôleurs et les plateformes ayant accès à l’environnement ICS pour les contrôler à distance.
• Entrave à la réponse : empêcher les systèmes de sécurité, de protection, d’assurance qualité et d’intervention de réagir suite à une défaillance, un risque ou un incident de sécurité.
• Paralysie des contrôles de processus manipuler, désactiver ou endommager les processus de contrôle physiques.
• Impact : manipuler, interrompre ou détruire les systèmes ICS ainsi que leurs données et leur environnement.

Techniques MITRE ATT&CK :

En y regardant de plus près, on constate que les tactiques décrites dans la section précédente s’appuient sur un ensemble complexe de techniques et de sous-techniques. Les techniques offrent un aperçu détaillé des méthodes utilisées par les attaquants pour atteindre leurs objectifs.

Elles sont ensuite décomposées en sous-techniques afin de fournir une vue plus granulaire de l’arsenal dont dispose l’attaquant et de décrire les actions spécifiques qu’il peut entreprendre pour mener à bien sa stratégie.

Par exemple, dans le cadre d’une tactique « Accès initial », les techniques mises en œuvre peuvent prendre la forme d’e-mails de spear-phishing ou d’un détournement d’applications. Les sous-techniques détaillent ensuite les modalités précises d’exécution de ces méthodes, comme l’envoi d’une pièce jointe ou d’un lien infecté (dans le scénario de spear-phishing), ou l’exploitation d’une vulnérabilité applicative. Cette approche multiniveau permet aux équipes de sécurité d’identifier aussi bien la stratégie générale adoptée par l’attaquant que les subtilités de son déploiement.

Cette base de données complète est continuellement mise à jour afin de suivre les incessantes évolutions du paysage des menaces. Chaque entrée est par ailleurs étayée par des exemples concrets, des indicateurs de compromission (IoC) et des stratégies de prévention. Les équipes de sécurité disposent ainsi de toutes les données actionnables dont elles ont besoin pour anticiper les potentiels vecteurs d’attaque et renforcer leur posture de sécurité.

Les professionnels de la cybersécurité peuvent s’appuyer sur ces informations détaillées pour concevoir des stratégies de défense plus précises, dotées de meilleures capacités de détection et de réponse. En établissant une cartographie précise des modes opératoires des attaquants, le framework MITRE ATT&CK permet donc aux entreprises d’adopter une posture de cybersécurité plus résiliente et plus réactive.

Découvrez comment les techniques MITRE ATT&CK catégorisent et décrivent les méthodes et tactiques utilisées par les attaquants : Que sont les techniques MITRE ATT&CK?

Que sont les sous-techniques ?

Les sous-techniques fournissent des descriptions plus précises des comportements adoptés par les attaquants pour atteindre un but. Ces sous-ensembles se rapportent chacun à une technique. Ils offrent une vue plus détaillée de l’attaque afin d’aider les équipes de sécurité à élaborer une réponse ciblant des risques spécifiques. Par exemple, un cybercriminel pourra utiliser un enregistreur de frappe pour accéder à des identifiants.

Procédures MITRE ATT&CK

Les procédures décrivent l’implémentation effective des techniques et sous-techniques utilisées par les cybercriminels. Par exemple, dans le cadre d’un vol d’identifiants, un attaquant pourra injecter des scripts PowerShell dans lsass.exe pour extraire des données de la mémoire LSASS de sa victime. Dans le framework ATT&CK, ces procédures sont catégorisées comme des techniques observées sur le terrain dans la section d’exemples de procédures de la partie consacrée aux techniques.

Quelle est la différence entre sous-techniques et procédures ?

Les sous-techniques et les procédures renvoient à deux concepts différents dans ATT&CK. Alors que les premières détaillent le mode d’exécution des cyberattaques, les procédures décrivent l’utilisation des techniques sur le terrain. Par ailleurs, puisque les procédures correspondent à l’implémentation effective des méthodes et sous-techniques, elles pourront inclure plusieurs autres comportements.

Par exemple, la procédure qui consiste à injecter des scripts PowerShell dans lsass.exe pour extraire des données de la mémoire comprend plusieurs techniques ou sous-techniques en lien avec PowerShell, à savoir le vol d’identifiants et l’injection de processus dans LSASS.

Analysez les différences entre les sous-techniques et les procédures MITRE ATT&CK : Quelle est la différence entre les sous-techniques et les procédures MITRE ATT&CK?

Framework ATT&CK : mode d’emploi

Les simulations d’attaques et les exercices Red Team s’appuient sur le framework pour reproduire des cyberattaques réelles. Cette approche permet d’évaluer l’efficacité des mesures de sécurité en place et d’identifier les potentielles faiblesses du réseau. Les entreprises peuvent ainsi s’inspirer des tactiques d’attaque réelles pour élaborer des stratégies de défense et de réponse plus performantes.

Le framework peut par ailleurs servir de base pour effectuer des analyses comportementales. En étudiant les schémas et techniques décrits par MITRE, les équipes de sécurité peuvent en effet améliorer leurs systèmes de détection et identifier plus rapidement les comportements suspects.

Il fournit également un cadre de référence clair au regard duquel l’entreprise peut mesurer ses capacités de détection et de réponse. Le framework facilite ainsi l’évaluation des lacunes défensives et de la maturité du SOC (centre des opérations de sécurité) ainsi que l’amélioration ciblée des mesures de protection.

Enfin, son approche détaillée et structurée de la catégorisation et de la communication des comportements malveillants vient enrichir la Cyber Threat Intelligence (CTI). Les entreprises ont ainsi toutes les cartes en main pour mieux comprendre le paysage des menaces et se préparer plus efficacement à d’éventuelles cyberattaques.

Implémentation du framework MITRE ATT&CK

La page d’introduction du site de MITRE ATT&CK et sa rubrique Ressources vous offrent une grille de lecture du framework. Rendez-vous également sur le blog de l’organisation pour en savoir plus sur les projets en cours et accéder à d’autres supports et cas d’usage. Le framework Mitre ATT&CK présente tous les modes opératoires des attaquants dans un format clair. Chaque colonne correspond à une tactique et liste les différentes techniques associées.

Il prend la forme d’une matrice dans laquelle chaque séquence d’attaque se compose d’au moins une technique par tactique. Pour retracer une attaque complète, vous pouvez donc parcourir la matrice de gauche à droite (de la reconnaissance à l’impact). Plusieurs techniques pourront ainsi être utilisées pour servir une même tactique. Par exemple, pour la reconnaissance ou l’accès initial, une campagne de spear-phishing pourra reposer à la fois sur un lien et une pièce jointe.

Les SOC, les équipes de Threat Intelligence et celles chargées de l’architecture de sécurité peuvent utiliser ATT&CK de plusieurs façons. Parmi les principaux cas d’usage :

• Émulation des modes opératoires des attaquants
• Programmes Red Team
• Développement d’analyses
• Évaluation des failles de sécurité
• Évaluation du niveau de maturité du SOC
• Threat Intelligence

En se prêtant au jeu de l’évaluation MITRE Engenuity ATT&CK, les fournisseurs peuvent identifier certains domaines d’amélioration afin notamment de mettre à jour les règles de prévention, de détection et de réponse sur lesquelles se fondent leurs politiques de cybersécurité. Cet exercice ne fournit certes pas de score de comparaison ou de classement général, mais il permet d’établir une synthèse « agnostique » des différentes méthodologies dont font usage les professionnels de la sécurité pour identifier et prévenir les campagnes d’attaques sophistiquées.

Découvrez comment identifier et implémenter efficacement les techniques MITRE ATT&CK les plus adaptées à la protection des données sensibles de votre entreprise sur la page : Comment implémenter les techniques MITRE ATT&CK ?

Obstacles à l’implémentation du framework MITRE ATT&CK

Si le framework MITRE ATT&CK constitue indéniablement un outil puissant pour renforcer la cybersécurité, son implémentation peut présenter certaines difficultés. Le besoin de formation et d’expertise fait partie des principaux obstacles à sa mise en œuvre. En outre, une implémentation efficace nécessite beaucoup de temps et de ressources.

Pour surmonter ces obstacles, les entreprises peuvent faire appel à un spécialiste de la cybersécurité capable de former et de conseiller leurs équipes sur l’utilisation du framework. Ce partenaire les aidera à utiliser MITRE ATT&CK dans les règles de l’art afin d’en libérer tout le potentiel.

MITRE ATT&CK : outils et ressources

Le framework MITRE ATT&CK renferme une mine d’outils et de ressources permettant de mieux comprendre la matrice et de renforcer l’arsenal défensif de l’entreprise. Les équipes de sécurité disposent ainsi de moyens supplémentaires pour élaborer des stratégies de sécurité plus efficaces.

Parmi les ressources les plus intéressantes, on peut notamment citer ATT&CK Navigator, Cyber Analytics Repository (CAR), Caldera et Atomic Red Team. Chacun de ces outils joue un rôle unique en offrant des éclairages et des fonctionnalités conçus pour répondre à des problématiques spécifiques en matière de détection, d’analyse et de simulation.

Attack Navigator

ATT&CK Navigator est un outil de visualisation avancé. Il permet d’explorer et de personnaliser une multitude de tactiques, techniques et procédures (TTP) décrites dans le framework. Son interface interactive aide par ailleurs les utilisateurs à cartographier le système de défense de l’entreprise et à en connaître les forces et les faiblesses.

Cyber Analytics Repository (CAR)

L’outil Cyber Analytics Repository (CAR) se concentre sur la dimension analytique de la cybersécurité. Il fournit des données d’analyse complètes des techniques ATT&CK pouvant être directement appliquées au réseau et aux événements. Ce référentiel offre donc des informations précieuses pour améliorer les capacités de détection du système et comprendre les spécificités techniques des différents modes opératoires des attaquants.

Caldera et Atomic Red Team

Caldera et Atomic Red Team offrent des outils concrets pour simuler les techniques d’attaque et tester les défenses réseau. Caldera est un système automatisé d’émulation des modes opératoires des cybercriminels qui s’appuie sur le framework ATT&CK pour créer des scénarios d’attaque réalistes. La bibliothèque de scripts Atomic Red Team permet quant à elle d’exécuter des techniques spécifiques afin que les équipes de sécurité puissent tester leur résilience face aux menaces connues.

MITRE ATT&CK comparé à d’autres modèles

Le framework MITRE ATT&CK se distingue par son approche complète et nuancée du référencement des tactiques, techniques et procédures (TTP) utilisées par les attaquants. Continuellement mis à jour, il se démarque des autres modèles en restant constamment en prise avec l’évolution permanente des menaces.

D’autres modèles, comme Cyber Kill Chain, se concentrent sur les étapes mises en œuvre pour compromettre un système. Ils se révèlent utiles pour comprendre la progression d’une attaque et anticiper, puis neutraliser, les menaces à différents stades du processus. Cyber Kill Chain offre toutefois une perspective très linéaire comparée à la variété d’approches du framework MITRE ATT&CK, qui se penche également sur les techniques post-exploitation et les mouvements latéraux.

Cyber Kill Chain

Le modèle Cyber Kill Chain est un framework permettant de mieux comprendre l’anatomie des cyberattaques et de les décomposer en différents segments. Il aide ainsi les équipes de sécurité à identifier et à neutraliser les attaques de manière plus efficace en adaptant leurs stratégies à chaque étape du processus – des mesures de reconnaissance proactives au filtrage des e-mails, en passant par les dispositifs de protection contre les malwares.

Ces modèles linéaires échouent toutefois à intégrer pleinement les multiples facettes des tactiques déployées par des attaquants aux méthodes sophistiquées. Le framework MITRE ATT&CK constitue donc une solution complémentaire offrant une vue plus granulaire des modes opératoires utilisés, ainsi qu’une boîte à outils complète pour se défendre contre les cybermenaces.

Le choix entre MITRE ATT&CK et d’autres modèles est souvent une question de besoins et de capacités. Certaines équipes préfèrent en effet la simplicité de l’approche structurée de Cyber Kill Chain, qui met l’accent sur la prévention, alors que d’autres optent pour la diversité et l’étendue des scénarios couverts par ATT&CK. La décision dépend donc des objectifs de chacun : comprendre l’anatomie d’une attaque ou élaborer une stratégie de défense multidimensionnelle, capable de faire face à une multitude de modes opératoires.

Frame MITRE D3FEND

Avec ses contremesures défensives permettant de prévenir, détecter et neutraliser les menaces de manière proactive, MITRE D3FEND vient compléter la perspective plus offensive du framework MITRE ATT&CK. Cette approche défensive est d’ailleurs clairement affichée dans le nom D3FEND, acronyme de Detection, Denial, and Disruption Framework Empowering Network Defense.

Cet outil présente une série de techniques aidant les équipes de sécurité à se défendre plus efficacement contre les comportements malveillants et à renforcer leurs stratégies de cybersécurité. Les éclairages fournis peuvent ainsi être utilisés pour mieux comprendre les modes opératoires des attaquants, tels que le chiffrement des malwares utilisé pour contourner les systèmes de défense.

Avantages du framework MITRE ATT&CK

L’intégration du framework MITRE ATT&CK permet avant tout d’améliorer la Threat Intelligence et les opérations de sécurité. Les équipes peuvent l’utiliser pour simuler des attaques réelles ciblant et exploitant les vulnérabilités de leurs systèmes. Cette approche proactive contribue ainsi à renforcer la posture de sécurité de l’entreprise et à sensibiliser ses équipes de sécurité à l’évolution des cybermenaces.

Le framework permet également l’établir un langage commun à tous les acteurs de la cybersécurité. En catégorisant et en décrivant les menaces de manière standardisée, il simplifie en effet la communication entre les équipes et avec les parties prenantes. Une telle approche permet notamment d’améliorer la coopération et d’accélérer le temps de réponse.

Les entreprises bénéficient par ailleurs des mises à jour continues de la matrice et des contributions de toute la communauté de cyberdéfense à la base de données MITRE ATT&CK. Le framework évolue en effet à mesure que de nouvelles techniques et tactiques sont observées, offrant ainsi une ressource actualisée reflétant fidèlement l’état actuel de la menace.

Technologies couvertes par le framework MITRE ATT&CK

Le framework MITRE ATT&CK couvre tous les logiciels et technologies ciblés par les cybercriminels, y compris les systèmes d’exploitation, les applications, les équipements réseau et les services cloud. Dès lors qu’elles comprennent les techniques et les tactiques des attaquants, les entreprises peuvent élaborer des moyens de protection efficaces et ainsi renforcer leur posture de sécurité globale.

Parmi les technologies couvertes par ATT&CK :

• Systèmes IT d’entreprise comme :
• Windows
• macOS
• Linux
• Équipements d’infrastructure réseau (réseau)
• Technologies de containerisation (containers)
• Systèmes cloud, y compris l’Infrastructure as a Service (IaaS)
• Software as a service (SaaS)
• Office 365
• Azure Active Directory (Azure AD)
• Google Workspace
• Appareils mobiles sous :
• Android
• iOS
• Systèmes de contrôle industriels (ICS)

Découvrez comment MITRE ATT&CK catégorise les comportements malveillants ciblant différentes technologies sur la page : Quelles sont les technologies couvertes par le framework MITRE ATT&CK?

Qu’est-ce que MITRE Engenuity ?

Avec le concours d’entreprises du privé, MITRE Engenuity se penche sur des questions d’intérêt général liées à la cybersécurité, à la résilience des infrastructures, à l’efficacité des systèmes de santé et aux communications de nouvelle génération. Dans le cadre de sa première initiative, MITRE Engenuity a réuni des spécialistes de la sécurité d’organisations leaders pour mieux comprendre les cybercriminels et ainsi renforcer les mécanismes de défense.

Afin d’accroître la résilience des entreprises face aux comportements malveillants connus, MITRE Engenuity utilise la base de connaissances ATT&CK^® pour évaluer les produits de cybersécurité en fonction de trois critères :

• Offrir aux utilisateurs finaux des informations objectives sur les fonctionnalités des produits de sécurité testés
• Informer les participants sur les capacités réelles de leurs produits de sécurité
• Renforcer les capacités des produits participants

Ces évaluations n’établissent aucun comparatif. Plutôt que de désigner un « vainqueur », elles montrent comment chaque fournisseur conçoit la cyberdéfense dans le contexte du framework MITRE ATT&CK. Il n’existe aucune méthode universelle d’analyse, de classement et de notation des solutions. Les méthodologies employées sont rendues publiques, de même que les résultats. Ces évaluations évoluent constamment, tant au niveau du contenu que de la méthode, afin d’en garantir l’équité, la transparence et la pertinence.

Que sont les évaluations MITRE Engenuity ATT&CK ?

Il appartient aux fournisseurs de solutions de sécurité de décider des moyens à mettre en œuvre pour détecter et bloquer les éventuels comportements malveillants. En ce sens, MITRE Engenuity leur demande de prouver que leurs produits y parviennent, même s’ils ne divulguent pas toujours publiquement tous les détails de leurs capacités de détection. MITRE Engenuity répartit les données fournies dans différentes catégories et décrit tous les produits à partir des informations fournies.

Pour déterminer la catégorie adéquate, MITRE Engenuity collecte des informations sous la forme de captures d’écran et de notes prises au cours de l’évaluation. Les événements de détection ou de protection sont classés dans deux types de catégories : « principale » (Main) et « nuance » (Modifier). La catégorie principale de chaque détection dépend de l’étendue du contexte fourni, tandis que la nuance attribuée permet de mieux décrire l’événement concerné.

Catégories utilisées par MITRE Engenuity pour la détection :

En mars 2022, MITRE Engenuity a publié la quatrième phase de ses évaluations, consacrées cette fois-ci aux groupes d’attaque Wizard Spider et Sandworm. Wizard Spider est un groupe de cybercriminels à visée financière qui cible de grandes organisations, y compris des hôpitaux, depuis le mois d’août 2018. Quant à Sandworm, connu pour ses attaques NotPetya en 2017, il mène des campagnes destructrices depuis la Russie, notamment contre des compagnies d’électricité britanniques en 2015 et 2016.

Turla est un groupe d’attaque mondialement connu, actif depuis au moins le début des années 2000. Il a infecté plus de 45 pays à travers la planète. Parmi ses cibles connues figurent des administrations gouvernementales, des missions diplomatiques, des groupes militaro-industriels, des instituts de recherche, ou encore des médias. Turla s’appuie sur un mix d’outils maison et open-source pour assurer sa propre sécurité opérationnelle, y compris un réseau de commande et contrôle ainsi que diverses techniques avancées et open-source.

D’après MITRE Engenuity, cette nouvelle phase d’évaluations a révélé une amélioration significative des produits testés, notamment ceux de Palo Alto Networks. Les fournisseurs ont en effet su mettre l’accent sur une cybersécurité basée sur la Threat Intelligence et sur un meilleur alignement avec le framework ATT&CK. Vous trouverez ici de plus amples informations sur les résultats de ces évaluations.

MITRE ATT&CK pour les RSSI

MITRE ATT&CK est un framework de cybersécurité incontournable. Il s’appuie sur des données concrètes et des cas d’usage réels pour décrire les tactiques employées par les attaquants et fournir des conseils sur les contremesures à mettre en place. Il offre donc un avantage stratégique aux RSSI, qui peuvent améliorer la posture de sécurité de leur entreprise et garder une longueur d’avance sur les attaquants en s’appuyant sur les données actionnables et les outils suivants :

• Une base de connaissances complète des tactiques et techniques d’attaque observées sur le terrain, soit autant de renseignements indispensables aux équipes de sécurité pour anticiper, détecter et neutraliser les cybermenaces.
• Un langage commun qui facilite la communication entre les équipes de sécurité et avec les parties prenantes internes comme externes.
• Une architecture de référence au regard de laquelle les centres des opérations de sécurité (SOC) peuvent mesurer leur posture de sécurité afin d’identifier les failles et les menaces potentielles.
• Des informations sur les malwares les plus récents ainsi que sur d’autres modes opératoires pour aider les RSSI à comprendre les schémas d’attaque complexes et à apporter une réponse adaptée aux cas d’usage réels.

Histoire et évolution du framework MITRE ATT&CK

Basée à Bedford et à McLean, aux États-Unis, MITRE est une organisation indépendante à but non lucratif, fondée à l’origine pour conseiller le gouvernement fédéral sur des questions techniques et d’ingénierie.

Le framework ATT&CK a quant à lui été développé dans le cadre d’un projet de recherche né en 2013 dans le but de documenter les techniques, tactiques et procédures (TTP) des groupes APT (Advanced Persistent Threats). Mais, à l’époque, MITRE souhaitait décrire ces TTP pour un autre projet de recherche appelé FMX.

Le projet FMX devait étudier dans quelle mesure les analyses et données télémétriques des terminaux aidaient à détecter des attaquants infiltrés sur les réseaux d’entreprise. Le framework ATT&CK a alors servi à tester l’efficacité des capteurs et analyses, tout en établissant un langage commun pour permettre aux acteurs du projet d’apporter des améliorations au fil du temps.

Dès 2015, MITRE ATT&CK est devenu accessible à tous, en téléchargement. Aujourd’hui, il aide les équipes de sécurité d’entreprises de tous secteurs à mieux cerner les menaces en présence et à sécuriser leurs systèmes en conséquence

Depuis sa création, le framework n’a cessé d’évoluer pour répondre aux besoins de Threat Intelligence liés à de nouveaux cas d’usage. Initialement créé pour étudier les menaces pesant sur un environnement spécifique (les systèmes Windows d’entreprise), il couvre désormais les cyberattaques ciblant de nombreux environnements, dont Linux, macOS, les technologies mobiles, le cloud, les réseaux, les containers et les systèmes de contrôle industriels (ICS).

Découvrez comment le framework MITRE ATT&CK évolue et fait évoluer les stratégies de cybersécurité :Comment MITRE ATT&CK s’améliore, s’adapte et évolue ?

Plus d’informations sur MITRE ATT&CK

Les ressources ci-dessous vous permettront de découvrir le framework et les évaluations MITRE ATT&CK auxquelles Palo Alto Networks Cortex XDR a participé.

Pour en savoir plus sur le framework ATT&CK, rendez-vous sur MITRE.org. Vous pouvez également utiliser l'outil ATT&CK Navigatorafin de parcourir, annoter et visualiser les techniques ATT&CK.

Framework MITRE ATT&CK et Cortex XDR

Cortex XDR s’appuie sur l’IA et les analyses comportementales pour bloquer les nouvelles attaques à partir des données des terminaux, des réseaux, du cloud et de sources tierces. Elle unifie sur une même plateforme des capacités de prévention, de détection, d’investigation et de réponse, gage d’une sécurité et d’une efficacité opérationnelle sans précédent.

Cortex XDR se démarque également par sa couverture unique des techniques MITRE ATT&CK. Ainsi, elle affiche régulièrement d’excellentes performances aux tests sectoriels indépendants, notamment aux évaluations MITRE Engenuity ATT&CK.

MITRE ATT&CK : questions fréquentes