Trois façons de tirer profit du Framework MITRE ATT&CK de manière optimale

0

Durant des décennies, les professionnels de la sécurité se sont contentés d’accumuler les technologies ou les flux d’informations sur les menaces pour renforcer leur sécurité. Visiblement, cette approche n’a pas fonctionné. Le nombre d’attaques est en hausse constante, tandis que le coût moyen d’une violation de données ne cesse de grimper, passant de 3,62 millions de dollars en 2017 à 3,86 millions en 2018 selon la dernière étude de l’institut Ponemon. Mais pourquoi une telle hausse des coûts ? L’augmentation du temps d’exposition (qui est passé de 191 jours en 2017 à 197 jours en 2018) et du délai de confinement qui s’élève aujourd’hui à 69 jours, contre 66 jours auparavant, constitue le principal facteur.

MITRE ATT&CKTM est l’un des derniers Framework disponibles pour accélérer le processus de détection et de réponse à incidents. Et il suscite beaucoup d’intérêt. MITRE ATT&CK analyse en profondeur les actions des cybercriminels et fournit de précieuses informations aux analystes sécurité. Cette avancée majeure dans la création d’une base de connaissance des cybercriminels, ainsi que de leurs tactiques, techniques et procédures (TTP), offre des avantages considérables. Cependant les équipes en charge de la sécurité sont déjà submergées de données d’événement et de log émanant de leurs différentes couches de produits de défense et/ou de leur système SIEM. À cela s’ajoutent les millions de flux de données sur les menaces destinés à contextualiser et à hiérarchiser ces alertes, qu’ils soient disponibles en Open Source ou issus de sources commerciales, d’acteurs du secteur ou des fournisseurs de sécurité existants.

Alors comment s’y prendre pour bien exploiter MITRE ATT&CK ? Presque toutes les entreprises sont intéressées, mais leur avis sur la façon d’adopter le Framework diverge selon les capacités de leurs équipes opérationnelles en charge de la sécurité. Il est important de s’assurer que MITRE ATT&CK ne vienne pas s’ajouter à la liste des sources de données sous-utilisées déjà en place. Il ne doit pas s’agir d’une mode passagère ni d’un Framework que seules les équipes en charge de la sécurité les plus avancées puissent mettre efficacement en œuvre. À cet effet, il faut trouver un moyen d’aligner MITRE ATT&CK sur les étapes de maturité afin que chaque entreprise en tire des bénéfices. Voici quelques exemples d’application du Framework à des cas d’utilisation appropriés à mesure que les niveaux de maturité évoluent.

Phase 1 : enrichissement des données

Le Framework MITRE ATT&CK contient d’importants volumes de données potentiellement bénéfiques à n’importe quelle entreprise. L’application MITRE ATT&CK Navigator fournit une vue matricielle de toutes les techniques d’attaque. Les analystes sécurité peuvent ainsi identifier les techniques utilisables par un cybercriminel pour infiltrer leur entreprise. Pour une exploitation plus simple de ces données, le recours à des outils facilitant leur accès et leur partage entre les équipes constitue un excellent point de départ.

Il peut s’agir d’un outil d’enrichissement ou d’une plate-forme dotée d’une bibliothèque de menaces centralisée permettant à l’utilisateur d’agréger les données et de rechercher aisément des profils de cybercriminels afin d’obtenir des réponses à des questions telles que : qui est le cybercriminel ? Quelles techniques et tactiques utilise-t-il ? Quelles mesures d’atténuation appliquer ? Les analystes sécurité peuvent se servir des données du Framework en tant que source de référence détaillée pour enrichir manuellement leur analyse des événements et des alertes, éclairer leurs investigations, et déterminer les meilleures actions à prendre selon la pertinence et les observations au sein de leur entreprise.

Phase 2 : Réponse reposant sur des indicateurs ou des événements

Les équipes en charge de la sécurité profitent de leur aptitude à référencer et à comprendre les données MITRE ATT&CK pour intégrer les capacités de la plate-forme à leurs workflows opérationnels et agir efficacement sur les données. Par exemple, elles peuvent automatiquement établir des relations entre les données ingérées dans une bibliothèque de menaces centralisée, sans aucune intervention manuelle. La corrélation automatique des indicateurs du Framework MITRE ATT&CK avec les événements et les indicateurs associés provenant de l’environnement (de sources telles que le système SIEM, le référentiel de gestion des logs, les systèmes de gestion des dossiers et l’infrastructure de sécurité) leur offre le contexte nécessaire à une compréhension immédiate du « qui, quoi, quand, comment et pourquoi » d’une attaque.

Les équipes en charge de la sécurité peuvent ensuite hiérarchiser les menaces de manière automatique en fonction de leur pertinence pour leur entreprise, et identifier les indicateurs de compromission (IoC) à haut risque afin de mener des investigations au sein de leur environnement. L’exploitation simplifiée et automatisée des données ATT&CK permet aux équipes en charge de la sécurité d’enquêter sur les incidents, d’y répondre, et d’étendre le renseignement sur les menaces aux capteurs en vue d’une détection et d’une recherche plus efficaces des menaces.

Phase 3 : Détection des menaces proactive orientée tactiques/techniques

À ce stade, les équipes de détection des menaces ont la possibilité de passer de la recherche d’indicateurs à l’exploitation de l’ensemble des données ATT&CK. Au lieu de cibler uniquement les données jugées suspectes, ces équipes partent d’un point de vue plus global en s’appuyant sur les informations relatives aux cybercriminels et aux techniques, tactiques et procédures (TTP) associées fournies par la plate-forme.

Ces équipes peuvent adopter une approche proactive en commençant par le profil de risques de leur entreprise, en corrélant ces risques avec des attaquants et tactiques spécifiques, en recherchant les techniques utilisées par les cybercriminels, puis en déterminant si des données correspondantes ont été identifiées dans leur environnement. Par exemple, si elles sont concernées par le groupe de hackers APT28, elles obtiendront des réponses rapides à des questions telles que : quelles sont les techniques utilisées ? Ai-je remarqué des IoC potentiels ou des événements système associés dans mon entreprise ? Mes technologies de protection des postes de travail sont-elles capables de détecter ces techniques ?

Le succès de la solution MITRE ATT&CK dépendra de la facilité avec laquelle il est possible de la mettre efficacement en œuvre. Une bonne compréhension des niveaux de maturité et des cas d’utilisation, de même que la capacité des technologies à soutenir les équipes opérationnelles chargées de la sécurité, quel que soit le stade où elles en sont, permettront aux entreprises de tirer avantage du Framework. Plus elles auront envie et seront capables d’utiliser les données, plus elles pourront creuser les possibilités offertes par le Framework MITRE ATT&CK et en retirer de la valeur.

Share.

About Author

Directeur Technique Europe chez Threatquotient

Leave A Reply