Par Ivan Vinogradov, Solution Architect, LogPoint
Le framework MITRE ATT&CK est un ensemble structuré de techniques utilisées par des adversaires et qui vise à aider, à tous les niveaux, les activités de cybersécurité, en mettant l’accent sur les équipes bleues (blue teams). En créant un framework unifié, MITRE a permis aux professionnels de la cybersécurité de communiquer plus clairement et de partager des informations plus efficacement, contribuant ainsi à un niveau de sécurité plus élevé, et ce au niveau mondial.
Comment le framework ATT&CK aide les équipes de sécurité
Le framework peut aider un professionnel de la sécurité dans plusieurs domaines, la plupart d’entre eux étant défensifs. L’analyse, le forensique et le renseignement bénéficient tous d’un framework unifié qui classe les menaces existantes. En utilisant ce dernier, des spécialistes de la cybersécurité avec différents niveaux d’expertise peuvent communiquer des informations sans qu’aucune d’entre elles ne soit perdue/altérée en cours de route.
Pour un analyste en cybersécurité, le framework accélère le temps de réaction et facilite la réponse. Les analystes peuvent mapper les alertes directement au niveau du framework, optimisant ainsi les processus et facilitant la création de playbooks complets pour les SOC (Security Operations Centers). De plus, les alertes dans le framework sont mappées séquentiellement, de sorte que les analystes peuvent signaler et faire remonter avec précision les incidents et savoir comment réagir face à la menace.
Concernant la traque des menaces, le principal avantage est la possibilité de placer un point de départ au niveau de l’investigation. Ce dernier donne aux analystes une idée approximative du moment où la compromission a eu lieu si une véritable menace est effectivement découverte. Le framework ATT&CK profite également de l’intelligence sur les menaces (threat intelligence) en augmentant la capacité des analystes à partager des informations sur ces dernières, sans entrer dans les détails.
Utilisation d’ATT&CK dans un SIEM
Les solutions SIEM tirent généralement parti de l’utilisation du framework ATT&CK. En effet, ce dernier classe les attaques par type et par étape, permettant ainsi à l’analyste d’identifier rapidement la position de l’attaque dans une tentative de compromission et de présenter clairement les résultats aux membres de l’équipe. De plus, le framework classe les incidents sans nécessairement exiger une compréhension plus approfondie des méthodes, accélérant ainsi la formation et la standardisation des procédures SOC.
Les analystes de sécurité peuvent utiliser ATT&CK pour mieux comprendre les tactiques et techniques de l’adversaire.
Le framework ATT&CK profite également aux employés en dehors de l’équipe d’analystes. Il est véritablement en train de devenir une norme du secteur, ce qui en fait un excellent outil pour communiquer avec le personnel d’encadrement, comme par exemple avec l’équipe dirigeante et les responsables de la sécurité. Grâce à ATT & CK, il est beaucoup plus facile de produire une vue d’ensemble des incidents avec une précision accrue. Le framework facilite même l’automatisation, comme le tableau de bord et les rapports, qui sont très demandés par les auditeurs et les RSSI.
ATT&CK et LogPoint
Concernant LogPoint, le domaine d’application le plus large de ce framework est la classification des alertes. Cette classification permet très rapidement et raisonnablement de sensibiliser à la sécurité à un niveau supérieur, en particulier lorsqu’elle est associée à l’une des méthodes de visualisation de LogPoint. Les alertes LogPoint standards associées à une référence ATT&CK donnent des résultats immédiats dans un environnement à faible activité. Cependant, même dans un environnement avec un niveau d’activité plus élevé, une solution de sécurité LogPoint utilisant ATT&CK apporte de la valeur grâce à une vision d’ensemble sur la sécurité améliorée.
En plus des avantages mentionnés précédemment à propos d’ATTC&K concernant une nette amélioration de la communication interne sur les menaces, le framework est également largement compris et utilisé par les sous-traitants externes en sécurité. Les alertes LogPoint sont déjà mappées au niveau du framework ATT&CK, facilitant ainsi la communication rapide concernant une alerte, même avec des intervenants extérieurs.
Les tableaux de bord LogPoint affichent la distribution tactique ATT&CK, ce qui est particulièrement utile dans les environnements plus vastes. LogPoint est conçu pour fournir une vue d’ensemble sur les alertes, et un heatmap ATT&CK, intégré au tableau de bord, donne aux grandes entreprises les informations nécessaires pour identifier plus précisément les différentes étapes d’une attaque.
En conclusion
Dans l’ensemble, le framework ATT&CK est une méthode dynamique, standardisée et très populaire de classification et de communication des informations de sécurité, à la fois accessible aux humains et aux machines. Nous vous conseillons vivement d’évaluer votre posture de sécurité à l’aide du framework ATT&CK car il représente le summum en matière de collaboration au sein de la communauté de sécurité moderne.
L’intégration et l’automatisation des services de sécurité sont les principaux moteurs de LogPoint en tant que solution de sécurité. Le framework ATT&CK est un élément essentiel et clé en main de l’amélioration en matière de sensibilisation à la sécurité. Il permet également aux analystes de mieux évaluer les informations provenant d’autres appareils et solutions.
C’est quoi MITRE ?
MITRE est une organisation à but non lucratif axée sur la cybersécurité et la résolution de problèmes de sécurité dans le but de créer un environnement IT plus sûr pour les entreprises. MITRE a développé le framework ATT&CK comme moyen universel de classer les tactiques adverses.
Qu’est-ce que le framework ATT&CK ?
Lancé en 2013, le framework ATT&CK est une base de connaissances communautaire regroupant les différentes techniques adverses. Elles sont organisées en un ensemble de tactiques aidant à mieux expliquer et définir le contexte d’une technique. Les tactiques représentent le «pourquoi» d’une technique et les techniques décrivent, quant à elles, «comment» un adversaire a atteint un objectif en lançant une action particulière.