Varonis debuts trailblazing features for securing Salesforce. Learn More

Introduction de l'automatisation du moindre privilège pour Microsoft 365, Google Drive et Box

En savoir plus
Blog Sécurité des données

Cadre MITRE ATT&CK : le guide complet

Les matrices ATT&CK de MITRE sont une ressource inestimable pour les professionnels de la cybersécurité. Lisez la suite pour en savoir plus sur les tactiques et techniques ATT&CK.
David Harrington
8 minute de lecture
Dernière mise à jour 6 octobre 2023

Contenu

    Le cadre MITRE ATT&CK est une base de connaissances globale qui permet de documenter les diverses tactiques et techniques utilisées par les hackers au cours des différentes étapes d’une cyberattaque. L’entreprise MITRE a commencé à développer la base de données en 2013, et au fil des ans, elle est devenue une ressource essentielle pour les équipes de cyberdéfense souhaitant évaluer les vulnérabilités et les protocoles de sécurité.

    Découvrez vos points faibles et renforcez votre résilience : Effectuez un Test de Préparation à la Ransomware Gratuit

    ATT&CK signifie « Adversarial Tactics, Techniques and Common Knowledge ». Le cadre ATT&CK est une matrice qui regroupe des techniques de cyberattaque triées et organisées en fonction de différentes tactiques. En outre, il existe différentes matrices pour les systèmes Windows, Linux, Mac et mobiles. L’utilisation de la matrice MITRE ATT&CK s’avère très intéressante pour savoir quels vecteurs d’attaque les hackers peuvent utiliser contre votre entreprise et comment optimiser votre  plan de réponse aux incidents et vos tests d’intrusion.

    MITRE ATT&CK aujourd’hui

    La matrice ATT&CK est l’une des ressources actuelles les plus complètes et les plus fiables en matière de techniques de piratage informatique. Voici quelques-uns des plus récents changements et  développements du cadre ATT&CK :
    • Amélioration et extension de la couverture Linux et Mac
    • Ajout de sources de données pour contribuer au développement de la matrice
    • Consolidation des plateformes cloud et amélioration des données cloud
    • Affinement et développement de la base de données des attaques sur mobile
    • Investigation des techniques d’attaque axées sur les conteneurs
    MITRE est résolue à tenir à jour et à enrichir la matrice ATT&CK, et vous pouvez vous attendre à ce que l’entreprise effectue des ajouts et des modifications en continu à mesure que la nature des cybermenaces évolue.

    Matrice MITRE ATT&CK : les 5 meilleures techniques

     L’objectif principal du cadre ATT&CK est d’améliorer la détection post-compromission des acteurs malveillants qui ciblent les réseaux, systèmes et données des entreprises. En utilisant ATT&CK, les organisations obtiennent des informations sur les actions qu’un hacker pourrait entreprendre. La façon dont l’attaquant a pénétré dans le système, comment il se déplace et les secteurs qu’il cible deviennent apparents. La base de connaissances est conçue pour répondre à des questions fondamentales sur la manière dont les hackers peuvent cibler une entreprise spécifique, et pour contribuer à la posture globale de sécurité de ces dernières. L’utilisation d’ATT&CK permet d’identifier les failles et les vulnérabilités, et aide les organisations à les classer par ordre de priorité en fonction du risque global. Il existe un trop grand nombre de techniques spécifiques pour les énumérer toutes (plus de 290). Néanmoins, nous vous présentons certaines des principales tactiques ATT&CK qu’utilisent les entreprises pour améliorer leur posture globale de cybersécurité.

    1. Injection de processus

    L’injection de processus est l’une des formes les plus courantes d’attaque de malware qui figurent dans la matrice. Elle consiste à insérer du code actif ou des applications dans un système à des fins malveillantes. Le code induit alors différentes actions, comme la désactivation des systèmes afin d’exécuter un ransomware ou le vol automatique de données. Simuler une injection de processus est un excellent point de départ pour les nouveaux utilisateurs d’ATT&CK.

    2. Attaques PowerShell

    Les attaques PowerShell sont très prisées des hackers, car c’est l’interface que les administrateurs système utilisent pour gérer et configurer les systèmes d’exploitation. PowerShell est un shell de ligne de commande et un langage de script installé par défaut sur Windows. Toute entreprise exploitant Windows devrait donc sérieusement envisager d’utiliser les exercices PowerShell proposés par MITRE ATT&CK.

    3. Authentification forcée

    Aujourd’hui, les hackers disposent d’outils extrêmement puissants,  comme Mimikatz, conçus pour deviner les mots de passe ou contourner complètement les processus de connexion et d’authentification. Les hackers collectent des données d’identification en incitant ou en obligeant un utilisateur à fournir automatiquement des informations d’authentification par le biais de méthodes telles que le phishing ou l’ingénierie sociale.

    4. Masquage

    Les hackers modifient souvent les fonctionnalités de leur code malveillant ou d’autres artefacts afin qu’ils semblent légitimes et fiables. Cela peut concerner les signatures de code, les noms et l’emplacement des fichiers de malware, le nom des tâches et les services, par exemple. En réalisant des exercices MITRE ATT&CK, vous pouvez découvrir comment les hackers peuvent se dissimuler dans votre système et comment les éliminer plus efficacement.

    5. Vidage des données d’identification

    Une fois que vos attaquants ont accès à un système, l’un de leurs principaux objectifs est de trouver des données d’identification pour accéder à d’autres ressources et systèmes dans cet environnement. La récupération des données d’identification par vidage est un mécanisme clé pour obtenir les informations de connexion et de mot de passe du compte, ce qui en fait l’une des principales tactiques à utiliser dans la matrice ATT&CK pour vous protéger contre les accès non autorisés.

    Utilisations de MITRE ATT&CK

    Une fois que vous avez choisi les tactiques, techniques et vecteurs à tester, vous êtes prêt à mettre en application la matrice MITRE ATT&CK. Voici les principales façons d’utiliser ATT&CK :
    • Planifier votre stratégie de cybersécurité : élaborez votre défense face aux techniques connues et ajustez votre surveillance de manière à détecter les indices d’utilisation des techniques ATT&CK dans votre réseau.
    • Informer vos équipes de réponse aux incidents (IR) : ces équipes peuvent utiliser ATT&CK pour déterminer la nature des menaces potentielles et les méthodes nécessaires pour les atténuer.
    • Référentiel de planification future de l’IR : votre équipe de réponse aux incidents peut utiliser ATT&CK comme référentiel des nouvelles menaces de cybersécurité pour s’y préparer.
    • Évaluation globale de la cyberdéfense : ATT&CK peut vous aider à évaluer votre stratégie globale de cybersécurité et à combler les lacunes que vous découvrez.

    Défis et solutions MITRE ATT&CK 

    En utilisant le cadre ATT&CK, vous devez garder à l’esprit plusieurs défis uniques qui pourraient se présenter. Heureusement, il existe des tactiques et des solutions pour distinguer les attaques de l’activité normale ou prendre en compte de multiples vecteurs, à titre d’exemple.

    1. Distinguer les attaques de l’activité normale

    Les comportements qui correspondent à une technique MITRE ATT&CK ne sont pas tous malveillants. Ainsi, la  suppression de fichiers est une technique répertoriée dans la rubrique Évasion défensive, ce qui est tout à fait logique. Mais comment distinguer les suppressions de fichiers normales des tentatives d’un hacker pour échapper à la détection ? La première étape consiste à discuter et à adopter les techniques MITRE ATT&CK en tant que langage commun pour vos équipes de sécurité. Vous devriez également travailler avec un partenaire expérimenté en cybersécurité qui connaît bien le cadre ATT&CK pour vous aider à distinguer les activités normales des activités malveillantes.

    2. Détecter les attaques difficiles à découvrir

    Certaines techniques décrites par ATT&CK sont également difficiles à détecter, même en étant très attentif. Les attaques par  force brute sont faciles à découvrir si vous connaissez les indices à repérer.  L’exfiltration via un protocole alternatif, comme un tunnel DNS, peut être très difficile à détecter même si vous le recherchez. La capacité à découvrir des techniques difficilement détectables est essentielle dans une optique de stratégie de sécurité des données à long terme. Vous devez utiliser des logiciels pratiques et des scénarios de la liste de groupes. Si vous ne pouvez même pas vous protéger contre les menaces connues, vous n’avez aucun moyen de stopper les menaces inconnues et difficiles à repérer.

    3. Prendre en compte de multiples vecteurs d’attaque

    Le fait que vous puissiez vous défendre contre une technique donnée d’une certaine manière ne signifie pas que vous pourrez faire de même face à une implémentation différente de cette technique contre les mêmes cibles. Ce n’est pas parce que votre antivirus détecte l’outil  Mimikatz qu’il détectera également tnykttns, ou toute autre variante ultérieure de Mimikatz. C’est pourquoi il est essentiel d’identifier les lacunes dans vos défenses à l’aide des matrices de MITRE ATT&CK et de mettre en œuvre des solutions pour les combler. L’un des avantages clés de MITRE ATT&CK, c’est qu’il permet de voir où et comment les piratages peuvent se produire, selon différents angles, sources et vecteurs d’attaque.

    Avantages d’ATT&CK pour atténuer les menaces

    L’utilisation du cadre ATT&CK aide non seulement les organisations à repérer les faiblesses potentielles, mais également à comprendre comment les pirates sont susceptibles de se comporter en cas d’attaque. De plus, vous reconnaîtrez les tactiques et techniques spécifiques qu’ils sont susceptibles d’utiliser et déterminerez comment vous protéger au mieux.
    REPÉRAGE Accès initial Augmentation de privilèges Évasion défensive Déplacement latéral COMMANDE ET CONTRÔLE Exfiltration Impact
    Balayage actif Compromission de la supply chain Détournement du flux d’exécution Manipulation de jetons d’accès Piratage de session à distance Codage et obfuscation des données Exfiltration automatisée Destruction ou manipulation des données
    Recherche d’informations par phishing Exploitation des applications destinées au public Injection de processus Dégradation des défenses globales Spear phishing interne Signalisation du trafic Transfert de données vers des comptes cloud Déni de service réseau
    Recueil d’informations sur la victime Compromission indirecte (drive-by) Création ou modification de processus système Masquage Utilisation d’une authentification alternative Tunneling de protocole Transfert de données programmé Effacement du disque ou défacement
      Exemples de techniques et tactiques de base du cadre ATT&CK

    Comparaison entre MITRE ATT&CK et la chaîne du cybercrime

    La principale différence entre ATT&CK et la chaîne du cybercrime classique est que cette dernière se concentre sur un ordre d’opérations spécifique, tandis qu’ATT&CK est axé sur les techniques et les tactiques. Néanmoins, tous deux cherchent à comprendre comment les hackers tentent d’infiltrer et d’affecter les systèmes sans se faire prendre. La chaîne du cybercrime progresse selon une séquence bien définie. La Red Team, qui représente les hackers lors d’un test d’intrusion, passe de la reconnaissance à l’intrusion et aux étapes suivantes.  À l’inverse, la Red Team utilise des techniques ATT&CK selon différentes tactiques à différents moments du scénario en fonction de la situation. Un scénario ATT&CK peut commencer par un ajout matériel à partir de la tactique d’accès initial, passer au contournement des contrôles du compte utilisateur à partir de la tactique d’augmentation de privilèges, puis revenir à la tactique d’exécution pour exécuter PowerShell. ATT&CK définit les tactiques suivantes utilisées dans une cyberattaque :
    • Accès initial
    • Exécution
    • Persistance
    • Augmentation de privilèges
    • Évasion défensive
    • Accès aux données d’identification
    • Découverte
    • Déplacement latéral
    • Collecte
    • Exfiltration
    • COMMANDE ET CONTRÔLE
    La chaîne du cybercrime, en revanche, est un cadre séquentiel qui s’articule comme suit :
    • REPÉRAGE
    • Intrusion
    • EXPLOITATION
    • Augmentation de privilèges
    • Déplacement latéral
    • Obfuscation/anti-analyse
    • DÉNI DE SERVICE
    • Exfiltration
    Une stratégie de cyberdéfense réussie s’appuiera à la fois sur les cadres ATT&CK et la chaîne du cybercrime pour identifier les vulnérabilités et la meilleure façon d’y remédier.

    Comment utiliser MITRE ATT&CK pour aider votre entreprise

    L’utilisation d’ATT&CK présente plusieurs avantages uniques et essentiels pour les entreprises. Tout d’abord, le cadre ajoute un niveau de profondeur et de granularité aux tests d’intrusion. Les red teams peuvent se concentrer sur diverses techniques, tactiques et vecteurs au cours de différents tests, couvrant ainsi un vaste éventail de surfaces d’attaque potentielles. ATT&CK aide également les entreprises à mettre en œuvre un langage commun et à comprendre les cybermenaces potentielles au sein de l’organisation. Par conséquent, lorsque des équipes échangent sur des techniques telles que l’exfiltration ou le mouvement latéral, leurs membres savent précisément de quelles tactiques elles relèvent et peuvent mieux coordonner leurs actions à des fins d’atténuation et de prévention. Enfin, ATT&CK donne une impulsion considérable à la cyberdéfense globale et aux plans de réponse aux incidents. La connaissance des tactiques spécifiques auxquelles leur organisation est la plus vulnérable aide les entreprises à mettre en place les bonnes mesures de protection. À titre d’exemple, si vos tests d’intrusion à l’aide d’ATT&CK révèlent que l’ingénierie sociale est peut-être votre principale vulnérabilité, vous pouvez élaborer vos plans autour de ce vecteur spécifique.

    Principaux outils et ressources ATT&CK

    Voici une liste d’outils et de ressources utiles lors de l’utilisation du cadre ATT&CK :
    • Caldera – Outil automatisé d’émulation de techniques d’attaque de MITRE
    • DatAlert – Solution de détection des menaces centrée sur les données de Varonis
    • Cascade – Jeu d’outils d’automatisation pour Blue Team de MITRE
    • DatAdvantage – Audit, et protection des environnements hybrides
    • Oilrig – Playbook d’adversaires basé sur le modèle ATT&CK

    Conclusion

    L’une des meilleures façons de maximiser les avantages d’ATT&CK est de l’utiliser en tandem avec une  plateforme de protection des données et un partenaire comme Varonis. La réalisation de vos tests d’intrusion à l’aide du cadre ATT&CK vous permettra également de connaître les techniques et tactiques spécifiques que les hackers sont le plus susceptibles d’utiliser, ainsi que leur comportement probable. Le cadre MITRE ATT&CK est rigoureux, complet, et ne cesse d’évoluer. Alors, si vous souhaitez en savoir plus sur la façon d’améliorer vos tests d’intrusion, votre politique de cybersécurité ou votre plan de réponse aux incidents à l’aide d’ATT&CK,  contactez un expert Varonis dès aujourd’hui.

    What you should do now

    Below are three ways we can help you begin your journey to reducing data risk at your company:

    1. Schedule a demo session with us, where we can show you around, answer your questions, and help you see if Varonis is right for you.
    2. Download our free report and learn the risks associated with SaaS data exposure.
    3. Share this blog post with someone you know who'd enjoy reading it. Share it with them via email, LinkedIn, Reddit, or Facebook.
    David Harrington
    David Harrington

    David est un rédacteur professionnel et un consultant en leadership éclairé pour les entreprises de technologie, les startups et les sociétés de capital-risque.

    Testez Varonis gratuitement.
    Un résumé détaillé des risques liés à la sécurité de vos données.
    Stratégie claire vers une remédiation automatisée.
    Déploiement rapide.
    Commencez votre évaluation gratuite Afficher un exemple
    Keep reading
    guide-de-l’acheteur-de-dspm
    Guide de l’acheteur de DSPM
    guide-de-l’acheteur-de-dspm
    Rob Sobers
    13 mars 2024
    Comprenez les différents types de solutions DSPM, évitez les pièges les plus courants et posez les bonnes questions pour vous assurer que vous achetez une solution de sécurité des données qui répond à vos besoins spécifiques.
    derrière-la-refonte-de-la-marque-varonis
    Derrière la refonte de la marque Varonis
    derrière-la-refonte-de-la-marque-varonis
    Courtney Bernard
    20 février 2024
    Découvrez la stratégie derrière la refonte de Varonis qui impliquait une transition complète vers un archétype de héros et l'introduction de Protector 22814.
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Tendances en matière de cybersécurité pour 2024 : ce que vous devez savoir
    tendances-en-matière-de-cybersécurité-pour 2024 :-ce-que-vous-devez-savoir
    Lexi Croisdale
    25 janvier 2024
    Apprenez-en davantage sur la gestion de la posture en matière de sécurité des données, les risques liés à la sécurité de l’IA, les changements en termes de conformité et bien plus encore pour préparer votre stratégie en matière de cybersécurité pour 2024.
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Trois façons dont Varonis vous aide à lutter contre les menaces internes
    trois façons-dont-varonis-vous-aide-à-lutter-contre-les-menaces-internes
    Shane Walsh
    14 novembre 2023
    Les entreprises ont du mal à lutter contre les menaces internes. Pour lutter contre elles, Varonis s’appuie sur la « triade de la sécurité des données » (sensibilité, accès et activité).