Le cadre MITRE ATT&CK
Le cadre MITRE ATT&CK est conçu pour sensibiliser et comprendre le fonctionnement des cyberattaques. Pour ce faire, il organise l'information selon une hiérarchie, notamment :
- Tactiques : MITRE ATT&CK Les tactiques sont des objectifs de haut niveau qu'un attaquant peut souhaiter atteindre au cours d'une cyberattaque. Cela comprend les étapes d'une attaque telles que l'accès initial à un système, la compromission des comptes d'utilisateurs et le déplacement latéral dans le réseau.
- Techniques : Pour chacune des tactiques de haut niveau, MITRE ATT&CK définit plusieurs techniques permettant d'atteindre l'objectif. Par exemple, un pirate peut accéder aux informations d'identification de l'utilisateur par le biais d'une attaque par force brute, en les dérobant au système d'exploitation ou par d'autres méthodes.
- Sous-techniques : Certaines techniques de MITRE ATT&CK peuvent être réalisées de diverses autres manières (appelées sous-techniques). Par exemple, une attaque de mot de passe par force brute peut être réalisée en déchiffrant des hachages de mots de passe, en remplissant des informations d'identification ou par d'autres moyens.
Les Tactiques, Techniques et Sous-Techniques de MITRE ATT&CK permettent d'approfondir la manière dont un attaquant peut atteindre un objectif. Pour chacune de ces techniques, MITRE ATT&CK comprend une description de l'attaque, ainsi que les éléments suivants :
- Procédures : Les procédures décrivent des exemples spécifiques d'utilisation d'une technique. Il s'agit de logiciels malveillants, d'outils de piratage et d'acteurs de la menace connus pour utiliser cette technique particulière.
- Détection : Pour une technique donnée, MITRE ATT&CK recommande des méthodes de détection de la technique. Cette section est très utile pour concevoir des défenses de cybersécurité, car elle décrit les types d'informations qui doivent être collectées pour détecter une attaque particulière.
- Atténuation : La section sur l'atténuation décrit les mesures qu'une organisation peut prendre pour prévenir ou réduire l'impact d'une technique particulière. Par exemple, l'utilisation de l'authentification multi-facteurs (MFA) est un moyen courant d'atténuer les techniques conçues pour obtenir l'accès aux comptes d'utilisateurs.
Tirer parti de l'ATT&CK de MITRE pour la cyberdéfense
Le cadre MITRE ATT&CK est conçu comme un outil et non comme un simple dépôt d'informations. Les équipes des centres d'opérations de sécurité (SOC) peuvent rendre opérationnelle la matrice MITRE ATT&CK de plusieurs façons, notamment
- Conception des défenses : Le cadre MITRE ATT&Ck décrit les méthodes de détection et d'atténuation des différentes techniques de cyberattaque. Ces informations peuvent être utilisées pour s'assurer qu'une organisation a mis en place les bonnes défenses et recueille les informations nécessaires à la détection d'une menace spécifique. Les renseignements sur les menaces peuvent être utilisés pour hiérarchiser les techniques sur lesquelles une organisation se concentre.
- Détection des incidents : Le cadre MITRE ATT&CK décrit les moyens par lesquels une menace particulière peut être détectée. Ces informations doivent être utilisées pour élaborer des règles de détection dans une solution de gestion de l'information et des événements de sécurité (SIEM), un Pare-feu de nouvelle génération (NGFW) et d'autres solutions de sécurité.
- Enquête sur l'incident : Le cadre MITRE ATT&CK décrit le fonctionnement d'une attaque particulière et le logiciel malveillant qui utilise certaines techniques. Ces informations sont précieuses pour les enquêtes sur les incidents, car elles permettent à l'enquêteur d'identifier la technique MITRE ATT&CK utilisée et de tirer parti des données supplémentaires fournies par le cadre.
- Remédiation aux infections : Le cadre MITRE ATT&CK décrit la manière dont une technique particulière est mise en œuvre et les capacités des différents échantillons de logiciels malveillants et des acteurs de la menace. Cela peut faciliter les efforts de remédiation puisqu'il décrit les actions qu'un attaquant a entreprises et qui doivent être annulées pour supprimer l'infection.
- Rapports : En normalisant la terminologie, le cadre MITRE ATT&CK simplifie l'établissement des rapports. Les outils et les analystes peuvent générer des rapports faisant référence à des techniques particulières du cadre, ce qui fournit des détails supplémentaires et des mesures d'atténuation si nécessaire.
- Chasse aux menaces: Les descriptions et les informations de détection fournies par MITRE ATT&CK peuvent s'avérer précieuses pour la recherche de menaces. En effectuant une évaluation MITRE ATT&CK et en examinant chacune des techniques décrites dans le cadre, les chasseurs de menaces peuvent déterminer s'ils ont été ciblés par des attaquants utilisant une technique particulière et si les solutions de sécurité existantes sont capables de détecter et de prévenir ces attaques.
Check Point et MITRE ATT&CK
The MITRE ATT&CK framework is a valuable tool for improving communication and understanding of cyberattacks. CheckPoint has integrated MITRE ATT&CK’s taxonomy into its entire solution portfolio, including Infinity SOC and Infinity XDR. Mappings to MITRE ATT&CK techniques are included in forensic reports, malware capability descriptions, and more.
L'analyste SOC bénéficie ainsi d'un certain nombre d'avantages. Lors de l'analyse d'une attaque particulière, l'utilisation de MITRE ATT&CK permet de comprendre facilement les causes profondes, le déroulement de l'attaque et l'intention de l'attaquant à chaque étape. En comprenant ce que l'attaquant essaie de faire et comment, une équipe SOC peut facilement comprendre la portée d'une attaque, les remèdes nécessaires et la façon d'améliorer les défenses pour l'avenir.
By integrating MITRE ATT&CK, Check Point Infinity SOC makes cyberattacks more transparent and comprehensible. To see for yourself, check out this demo video. You’re also welcome to sign up for a free trial to see how Check Point and MITRE ATT&CK can simplify and optimize incident detection and response.