Sommaire

Comment MITRE ATT&CK s'est-elle améliorée, adaptée et évoluée ?

Sommaire

Le MITRE ATT&CK a évolué, ce qui témoigne de la volonté de l'organisation d'améliorer et d'adapter en permanence ses renseignements sur les menaces pour aider les équipes de sécurité à contrer les cyberattaques. Le fait que la matrice ATT&CK soit de plus en plus utilisée comme base de connaissances en matière de cybersécurité et comme ressource de référence pour identifier les attaquants et leurs tactiques en dit long sur son utilité pour améliorer le dispositif de sécurité d'une organisation.

ATT&CK signifie Adversarial Tactics, Techniques, and Common Knowledge (tactiques, techniques et connaissances communes adverses), ce qui résume son rôle d'outil de compréhension et de lutte contre les cybermenaces. La nomenclature du cadre souligne son engagement à offrir des informations approfondies et exploitables dans le domaine de la cybersécurité.

Cadre de cybersécurité complet, MITRE ATT&CK a constamment évolué et s'est adapté au rythme des groupes de cybermenaces, offrant une détection des menaces et des contre-mesures efficaces. MITRE ATT&CK fournit des informations concrètes sur l'évolution des tactiques, des techniques et des connaissances partagées (informations sur les procédures) des cyberadversaires afin de permettre des défenses rapides et efficaces.

 

Quels sont les trois principaux éléments du cadre ATT&CK de MITRE ?

Le cadre ATT&CK se compose de trois éléments interconnectés : les tactiques, les techniques et les procédures (TTP). Elle comporte plusieurs matrices ATT&CK, chacune s'adressant à des environnements distincts. Il s'agit notamment des matrices Entreprise, Mobile, Cloud et Systèmes de contrôle industriel (ICS). Les matrices de MITRE offrent aux équipes de sécurité un aperçu approfondi des cybermenaces et des tactiques employées par les acteurs de la menace, classées par vulnérabilité.

Dans chaque matrice, les colonnes symbolisent les tactiques, les lignes indiquent les techniques et les cellules fournissent des détails supplémentaires, tels que les procédures, les groupes, les logiciels et les mesures d'atténuation associées pour chacune des techniques spécifiques.

Régulièrement mis à jour pour suivre l'évolution constante du paysage des cybermenaces dans le monde réel, le cadre MITRE est un atout essentiel pour les professionnels de la cybersécurité. Elle renforce leurs capacités de renseignements sur les menaces, de détection et de réaction.

Le cadre ATT&CK de MITRE s'articule autour de trois composantes principales qui sont actualisées pour prendre en charge plusieurs cas d'utilisation, notamment la connaissance du comportement des adversaires et la réponse aux incidents.

Tactique

Les tactiques englobent les objectifs stratégiques que les cybermenaces potentielles aspirent à atteindre, notamment l'obtention d'un accès initial, l'exécution, l'engagement persistant, l'escalade des privilèges, le contournement de la défense, l'accès aux informations d'identification, la découverte, le mouvement latéral, la collecte de données, l'exfiltration, l'escalade des privilèges et l'établissement d'un commandement et d'un contrôle.

Techniques

Les techniques décrivent en détail les méthodes spécifiques employées par les acteurs de la menace pour atteindre leurs objectifs tactiques. Chaque technique offre une compréhension approfondie de la manière dont un adversaire s'efforcera d'accomplir une tactique spécifique.

Par exemple, dans le cadre de la tactique de reconnaissance, plusieurs techniques sont incluses dans la matrice : le balayage actif (par exemple, en préparation de l'accès initial, sous-technique-balayage des blocs IP), la collecte d'informations sur l'identité de la victime (par exemple, pour le spear phishing, sous-technique-adresses électroniques) et l'hameçonnage d'informations (par exemple, l'hameçonnage d'informations d'identification, sous-technique-lien d'hameçonnage).

Procédures

Les procédures désignent les actions ou les étapes que l'adversaire emploie lors de l'exécution d'une technique pour atteindre ses objectifs tactiques. Les procédures varient selon les acteurs de la menace, ce qui démontre les outils, les commandes et les logiciels malveillants (par exemple, les ransomwares) qu'ils emploient.

 

Historique du cadre ATT&CK de MITRE

Dirigé par la communauté dès le départ, le MITRE ATT&CK a été initialement lancé sous la forme d'un wiki dans le cadre de l'expérience Fort Meade (FMX) du MITRE. Pour cette expérience, les chercheurs en cybersécurité ont émulé à la fois le comportement de l'adversaire (équipe rouge) et celui du défenseur (équipe bleue) afin de comprendre comment mieux se protéger contre les cybermenaces. Cette expérience a contribué à façonner le cadre et à l'orienter vers des observations du monde réel, notamment la détection des adversaires.

La première version comprenait neuf tactiques reflétant les différentes phases du cycle de vie d'une cyberattaque par un adversaire. Au fil du temps, le cadre a évolué et s'est élargi, devenant une base de connaissances accessible dans le monde entier sur les tactiques des adversaires et les nouvelles techniques de cyberattaque.

Le cadre ATT&CK de MITRE a fourni un langage commun pour combler les lacunes entre les équipes de sécurité et les autres acteurs de la cybernétique.

Brève chronologie du projet MITRE ATT&CK

  • 2013 : MITRE ATT&CK : Le cadre de cybersécurité a fourni des tactiques, techniques et procédures (TTP) communes que les menaces persistantes complexes ont utilisées contre les réseaux d'entreprise Windows.
  • 2015 : ATT&CK pour les entreprises : La première version de la matrice ATT&CK Enterprise a été publiée. Il a fourni un moyen structuré et organisé de comprendre les tactiques et techniques adverses utilisées pour cibler les environnements d'entreprise.
  • 2017 : MITRE PRE-ATT&CK : Le cadre PRE-ATT&CK de MITRE répond aux préoccupations de la communauté concernant ce que font les cyber-attaquants avant qu'ils n'obtiennent l'accès. Il détaille les tactiques, techniques et procédures (TTP) utilisées par les adversaires pour sélectionner une cible, obtenir des informations et lancer une campagne.
  • 2017 : MITRE ATT&CK pour Mobile Matrix : La matrice mobile de MITRE est conçue pour couvrir les techniques impliquant l'accès à l'appareil et les effets basés sur le réseau qui peuvent être utilisés par un adversaire sans accès à l'appareil. Depuis, il a été mis à jour à plusieurs reprises pour refléter l'évolution des TTP utilisées pour détecter les cyberadversaires qui tentent de compromettre les appareils mobiles iOS et Android.
  • 2019 : MITRE ATT&CK Matrix for Cloud Matrix; Avec la MITRE Cloud Matrix, les équipes de sécurité ont eu accès à fournir une compréhension organisée et complète des différentes TTP que les acteurs de la menace emploient pour cibler les environnements cloud. La matrice contient des informations sur Azure Active Directory, Office 365, Google Workspace, SaaS et IaaS.
  • 2019 : Sous-techniques de MITRE ATT&CK : La version Beta de MITRE ATT&CK avec les sous-techniques a été rendue publique. Les sous-techniques fournissent un niveau de détail plus granulaire, permettant une compréhension plus nuancée de la manière dont les adversaires opèrent en décomposant les techniques en variantes ou méthodes spécifiques.
  • 2019 : MITRE Engenuity ATT&CK Evaluations : Les évaluations ATT&CK de MITRE Engenuity ont fourni des processus structurés et un cadre pour évaluer l'efficacité des produits et solutions de sécurité en matière de cybersécurité dans la détection et l'atténuation des tactiques et techniques adverses dans le monde réel. Grâce aux évaluations ATT&CK, les fournisseurs ont pu démontrer les capacités de leurs produits de sécurité par rapport à des scénarios de menace spécifiques.
  • 2021 : MITRE ajoute macOS et d'autres types de données : En réponse aux commentaires de la communauté, MITRE a ajouté la prise en charge des informations sur les menaces affectant macOS et les conteneurs d'Apple. Il a également permis d'augmenter le nombre de sources de données et de relations.

Le cadre ATT&CK de MITRE continue d'évoluer pour répondre à la nature changeante des cybermenaces. Des mises à jour régulières, de nouvelles matrices et des fonctionnalités supplémentaires sont introduites afin d'améliorer la pertinence et l'utilité du cadre pour la communauté de la cybersécurité.

 

MITRE ATT&CK et la sécurité du cloud

L'élargissement du cadre ATT&CK de MITRE à la sécurité du cloud est une adaptation cruciale à l'évolution du paysage de la cybersécurité. Cette évolution démontre la capacité de MITRE ATT&CK à rester pertinent et efficace face aux technologies et menaces émergentes.

Le rôle de MITRE ATT&CK dans la sécurité du cloud

MITRE ATT&CK a intégré des matrices spécifiques au cloud, qui décrivent les tactiques et les techniques que les attaquants exploitent contre les services cloud. Cet ajout est essentiel pour aider les organisations à identifier et à se défendre contre les menaces propres aux infrastructures cloud, telles que l'exploitation des API, les configurations erronées des services cloud et les attaques inter-locataires.

L'adaptation du cadre au cloud permet aux experts en cybersécurité d'adapter leurs mécanismes de défense aux complexités des environnements cloud, offrant ainsi une approche de sécurité plus robuste et plus ciblée.

 

Défis et avenir de MITRE ATT&CK

L'évolution du paysage numérique s'accompagne de celle des défis auxquels sont confrontés les cadres de travail tels que MITRE ATT&CK. Ces défis sont essentiels pour façonner le développement constant et l'efficacité du cadre.

Défis actuels

Rester en phase avec l'évolution rapide et la sophistication des tactiques des acteurs de la menace reste un défi de taille. Le cadre doit être constamment mis à jour pour tenir compte des nouvelles techniques et contre-mesures.

Un autre défi consiste à maintenir son applicabilité globale, en veillant à ce qu'elle reste pertinente dans les différents secteurs et environnements informatiques. La complexité croissante des environnements hybrides, combinant des infrastructures sur place, cloud et mobiles, complique encore cette tâche.

 

Évolution des FAQ de MITRE ATT&CK

La matrice ATT&CK de MITRE a été initialement conçue pour les environnements d'entreprise, fournissant une méthode systématique et bien ordonnée pour comprendre les stratégies et les méthodes utilisées par les cyber adversaires lorsqu'ils ciblent les systèmes d'entreprise afin d'aider à optimiser les contrôles de sécurité. Cette matrice fonctionne comme une vaste base de renseignements sur les menaces, facilitant l'identification des tactiques cybernétiques de l'adversaire.
Les trois composantes du cadre ATT&CK de MITRE sont les tactiques, les techniques et les procédures (c'est-à-dire les techniques en pratique). Chaque matrice ATT&CK de MITRE comprend des sections qui détaillent ces trois éléments pour chaque type de matrice.
MITRE ATT&CK est régulièrement mis à jour pour refléter l'évolution du paysage des menaces et intégrer de nouvelles observations et perspectives. Bien que la fréquence exacte des mises à jour puisse varier, les nouvelles versions du cadre ATT&CK de MITRE sont généralement publiées deux fois par an. Ces mises à jour comprennent souvent de nouvelles techniques, de nouveaux groupes, de nouvelles campagnes et de nouveaux logiciels pour des environnements tels que les entreprises, les mobiles et les systèmes de contrôle industriel (ICS). Pour rester à jour, MITRE incorpore les nouvelles techniques, tactiques et procédures (TTP) et les mises à jour des sous-techniques au fur et à mesure qu'elles sont identifiées.
Contenu connexe
Que sont les techniques ATT&CK de MITRE ?
Le cadre ATT&CK de MITRE consiste en une taxonomie détaillée des tactiques et techniques spécifiques employées par les acteurs de la menace pour mener des cyberattaques.
Page Cortex XDR MITRE ATT&CK
Plongée dans les évaluations MITRE ATT&CK de Cortex XDR.
Tableau de bord des évaluations ATT&CK de MITRE Engenuity
Notre tableau de bord interactif permet aux utilisateurs d'explorer les résultats des évaluations passées et actuelles.
Le guide essentiel de MITRE ATT&CK Round 5
Notre guide fournit un aperçu comparatif des performances des fournisseurs sur différentes mesures, ainsi que des conseils sur la manière d'approfondir les résultats.

Recevez toutes les dernières infos, invitations à des évènements et alertes de sécurité