Cybersécurité :
« du discours marketing au bon usage de MITRE ATT&CK »
Retour sur MITRE ATT&CK
Ressource essentielle pour permettre aux entreprises et organisations d’améliorer leur posture de sécurité, MITRE ATT&CK est devenu un outil incontournable, qui s’est imposé comme une base de connaissance ouverte, accompagnant les opérationnels dans leurs efforts face aux nouvelles menaces cyber. Toutefois, son utilisation n’est pas toujours évidente. Revoir son approche par rapport à cette matrice et prendre le recul nécessaire pour imaginer de nouveaux usages peut néanmoins s’avérer bénéfique pour les décideurs du secteur. Cependant, avant même de penser à de nouveaux usages, il est essentiel que les utilisateurs apprennent d’abord à l’utiliser correctement.
Développée par l’organisation américaine non gouvernementale à but non lucratif MITRE Corporation, le framework MITRE ATT&CK se définit comme étant « une base de connaissances universellement accessible », fournissant les « tactiques et les techniques des adversaires ». Fondée sur des observations réelles, MITRE ATT&CK sert de fondement à l’élaboration de « modèles et de méthodologies spécifiques de lutte contre les menaces ». Ce référentiel a pour objectif global affiché de « résoudre les problèmes pour un monde plus sûr, en rassemblant les communautés pour développer une cybersécurité plus efficace ». Depuis 2013, MITRE ATT&CK fournit un langage commun aux experts en cybersécurité pour leur permettre d’analyser les menaces et développer des stratégies de défense efficaces.
Dans un souci d’amélioration continue, MITRE ATT&CK est par ailleurs actualisé de façon biannuelle, grâce aux contributions de la communauté internationale et aux enseignements tirés de campagnes malicieuses, afin d’ajuster les défenses face à des besoins en constante évolution. Chaque année, de nombreux éditeurs de solutions de cybersécurité participent aux évaluations organisées par MITRE ATT&CK, dont les résultats, lorsque probants, sont régulièrement mis en avant par les éditeurs auprès de leurs clients ou de leurs prospects. Or, trop souvent, MITRE ATT&CK est présenté à tort comme un standard de validation de solutions de sécurité. Il souffre plus généralement de nombreuses idées reçues.
Brisons donc quelques idées reçues :
- MITRE ATT&CK n’est pas un standard décrivant de manière finie toutes les techniques utilisées par un adversaire : c’est un framework et une base de connaissance en constante évolution, au gré de ses actualisations, perfectible, générique et non exhaustif.
- MITRE ATT&CK n’est pas non plus un cadre fermé, strict ni parfait puisqu’il consolide les attaques, les techniques et les tactiques documentées (les zero-day n’y figurent pas par exemple).
- MITRE ATT&CK n’est ni un guide de bonnes pratiques ni un standard de validation de solution de sécurité.
- MITRE ENGENUITY n’est pas un test de conformité à MITRE ATT&CK. MITRE ENGENUITY, lancé en 2019 par la MITRE Corporation, est en charge d’exécuter des évaluations et des tests (appelées MITRE ATT&CK Evaluations) par rapport au framework MITRE ATT&CK. Ces « évaluations » sont payantes auprès du testeur. Les scénarios d’attaque sont annoncés une année à l’avance, au moment des appels à candidatures et les procédures simulées sont bien documentées. Par conséquent, la couverture de MITRE ATT&CK est facilement maîtrisable. En 2023 par exemple, les scénarios de prévention et de détection évalués étaient associés au groupe de cyber espionnage Turla, un acteur très connu, actif depuis les années 2000.
- Il est important de souligner que les évaluations de MITRE ENGENUITY ne concernent aujourd’hui que des éditeurs de solutions endpoints (ou EDR). MITRE ENGENUITY ne fait pas encore d’évaluations de solutions de type réseau (NDR). Or ces deux systèmes peuvent être associés afin de garantir une surveillance et une protection complète du paysage informatique.
- Enfin, les techniques des cyberattaquants listées sont relatives : il faut différencier les techniques en amont et en aval selon le moment où l’on repère une attaque, et par conséquent accepter et choisir de pondérer sa posture de sécurité et de prioriser la technique de l’attaquant à maîtriser.
La notion de technique relative
Il est aussi important pour les organisations et entreprises de comprendre qu’une technique identifiée par MITRE ATT&CK est relative. Cette notion de technique relative implique deux éléments essentiels qui peuvent nous aider à comprendre l’usage à faire de MITRE ATT&CK :
- Le premier élément est qu’une entreprise ne peut couvrir 100 % de la matrice MITRE ATT&CK.
- Le second élément est qu’une entreprise doit être précise et pondérer sa couverture de la matrice, c’est-à-dire choisir de détecter une menace soit de façon large, soit de façon précise. Il n’est pas nécessaire de couvrir l’ensemble de MITRE ATT&CK mais d’être précis.
Pour compléter cette analyse, nous pouvons faire appel à l’analogie du voleur qui s’introduirait dans une maison. Imaginez le propriétaire d’une maison récemment cambriolée, qui souhaiterait à présent la protéger. Il est peut-être moins pertinent de comprendre comment le voleur s’est introduit dans sa maison, comment une porte a été forcée ou une fenêtre brisée mais de comprendre qu’il aurait fallu installer une caméra filmant l’arrivée du voleur, afin de le voir escalader le toit, s’introduire par une fenêtre, afin d’alerter la police à temps.
Par conséquent, il apparaît intéressant de prendre le recul nécessaire pour revoir son usage de MITRE ATT&CK.
Pour une approche « météorologique » de MITRE ATT&CK
On observe chez les clients deux approches et utilisations différentes faites de MITRE ATT&CK. Il y a d’une part les clients qui ambitionnent de couvrir 100% du framework et d’autre part ceux qui l’utilisent comme un pivot, pour être en capacité d’adapter leurs défenses en fonction d’un contexte d’attaque qui évolue en permanence. Nous qualifions cette dernière démarche d’approche dite « météorologique », qui consiste à prendre en compte l’évolution des menaces, pour s’adapter en temps réel à ces dernières. En quoi est-elle intéressante ?
On peut en effet légitimement s’interroger sur l’approche des vendeurs et des éditeurs qui consistent à vouloir couvrir l’ensemble de MITRE ATT&CK : ce n’est ni réaliste ni réalisable, pour des questions organisationnelles et logistiques évidentes. MITRE ATT&CK répertorie aujourd’hui 196 techniques et 411 sous-techniques or la maîtrise de 50 techniques suffit aujourd’hui de couvrir 80 % des attaques avancées (APT) connues, lesquelles peuvent être détectées en activant les bons outils. Il existe donc une approche alternative, qui consiste à couvrir non pas l’ensemble des techniques mais celles en amont, grâce aux solutions et technologies permettant d’identifier les menaces dès les signaux faibles.
Il apparaît ainsi pertinent pour une structure de se concentrer sur des détections précises et de déterminer l’activité qu’elle souhaite prémunir ou a obligation de protéger en priorité.
De l’avantage des systèmes NDR
Pour les entreprises qui souhaitent miser sur une approche météorologique de MITRE ATT&CK, les technologies NDR présentent de nombreux avantages et ces dernières peuvent être alors comparée à la « caméra de surveillance » qui permet d’identifier les voleurs – pour reprendre l’analogie susmentionnée.
Absentes jusqu’à présent des évaluations menées par MITRE ATT&CK, on peut toutefois s’attendre à ce que les technologies NDR gagnent en importance dans les années à venir, pour aider les entreprises à consolider leur sécurité et à se préparer à affronter les défis d’un paysage de menaces en constante évolution.
En présentant une plus grande capacité d’adaptation aux paysages de menaces en évolution, les technologies NDR répondent aux entreprises à la recherche de solutions de sécurité plus efficaces et évolutives. En interaction avec d’autres technologies spécifiques à la sécurité telles que les solutions EDR, SIEM et pare-feux, les systèmes NDR constituent par ailleurs une ligne de défense solide contre les cyberattaques.
Le Machine Learning (ML) intégré aux systèmes NDR permet à ces technologies de détecter des modèles et tendances/anomalies dans le trafic réseau, et d’identifier des anomalies ou activités suspectes annonciatrices de menaces potentielles. L’utilisation de l’IA et plus précisément du ML amène également les solutions NDR à apprendre en continu du trafic réseau analysé et à s’adapter aux changements qui interviennent dans le paysage des menaces. Cette association facilite la détection de nouvelles menaces en cours d’évolution que les méthodes de détection traditionnelles basées uniquement sur les signatures peuvent ignorer. L’IA et le ML dans les systèmes de NDR permettent des réactions automatisées en temps réel aux menaces détectées (blocage d’adresses IP, l’isolement des appareils concernés, l’utilisation de patchs de sécurité ou la mise à jour des règles du pare-feu, etc.). L’automatisation des réactions permet de réduire le temps de réaction et de minimiser les éventuels dommages pour les entreprises et les organisations ciblées.
MITRE ATT&CK – de réelles opportunités
Malgré les biais observés, MITRE ATT&CK présente des atouts incontestables pour les organisations et les experts en cybersécurité. Il représente une réelle opportunité pour tout l’écosystème cyber, en ce sens qu’il fournit : un vocabulaire et des critères communs pour la communauté cyber, une qualité et une quantité de connaissances associées aux alertes remontées, une identification des angles morts (les techniques « upstream » non vues ou « downstream » pour celles à venir), et une identification des informations remontées.
C’est donc avec une attention particulière que les experts en cybersécurité doivent continuer d’observer les évolutions du MITRE ATT&CK et ses actualisations, pour découvrir l’éventail de techniques proposées, dans le but d’améliorer leur connaissance des stratégies d’attaque et de défense en cybersécurité – tout en se démarquant des biais, en précisant leur détection, et en sortant des faux-débats qui tentent d’opposer les bons des mauvais éditeurs.