ATT&CK

Cet article est une ébauche concernant la sécurité informatique.

Vous pouvez partager vos connaissances en l’améliorant (comment ?) selon les recommandations des projets correspondants.

Mitre ATT&CK
Présentation
Type
Fondation
Site web

modifier - modifier le code - modifier WikidataDocumentation du modèle

ATT&CK (pour Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissance aidant a modeler les tactiques et techniques utilisées par les cyberadversaires, ainsi qu'a comprendre comment les détecter et les stopper[1]. Cette base de connaissance classifie et décrit les cyberattaques et les intrusions. Elle est créée et publiée par la société à but non lucratif MITRE en 2013[2].

Le cadre se compose de 14 catégories de tactiques constituées d'« objectifs techniques » d'un adversaire. Les exemples incluent l'élévation de privilèges et le commande et contrôle[3]. Ces catégories sont ensuite décomposées en techniques et sous-techniques spécifiques[3].

Le cadre est une alternative à la Cyber Kill Chain développée par Lockheed Martin[3].

Histoire

ATT&CK est créé en 2013 à la suite de l'expérience Fort Meade de MITRE, au cours de laquelle des chercheurs simulent le comportement de cyber-adversaires et de défenseurs afin d'améliorer la détection post-compromission des menaces grâce à la détection de la télémétrie et à l'analyse comportementale. Dans le but d’être capable de détecter des comportements documentés d'adversaires, ils développent la base de connaissance ATT&CK[4].

Utilisation

MITRE ATT&CK est utilisé dans le monde entier dans de multiples disciplines, notamment la détection d'intrusion, la chasse aux menaces, l'ingénierie en cyber-sécurité, le renseignement sur les menaces, le red teaming et la gestion des risques[5].

Cette base permet de cartographier les comportements connus de groupes d'attaquants selon les phases d'une attaque, c'est-à-dire de la phase d'accès initial à celle de l'impact[6]. Ces phases peuvent être effectuées sur plusieurs machines [7].

Déclinaisons

MITRE ATT&CK comprend trois déclinaisons[4] :

  • ATT&CK pour entreprises se concentre sur les comportements adverses dans les environnements Windows, Mac, Linux et Cloud.
  • ATT&CK pour mobiles se concentre sur le comportement des adversaires sur les systèmes d'exploitation iOS et Android.
  • ATT&CK pour ICS se concentre sur la description des actions qu'un adversaire peut entreprendre lorsqu'il opère au sein d'un réseau industriel.

Références

  1. (en) « MITRE ATT&CK », sur MITRE, (consulté le )
  2. (en) « What is the MITRE ATT&CK Framework? », Rapid7 (consulté le )
  3. a b et c (en) « What is the Mitre Attack Framework? », crowdstrike.com (consulté le )
  4. a et b (en) « What Is the MITRE ATT&CK Framework? », sur www.trellix.com (consulté le )
  5. (en) Blake Strom, Andy Applebaum, Douglas Miller et Kathryn Nickels, « MITRE ATT&CK: Design and Philosophy », The MITRE Corporation,‎ (lire en ligne, consulté le )
  6. Gévaudan Adrien, « MITRE ATT&CK : la rançon du succès », MISC, no 125,‎ (lire en ligne, consulté le )
  7. Aurélie Chandeze, « Cybersécurité : à quoi sert le framework Mitre Att&ck ? », sur CIO Online, (consulté le )

Voir aussi

Liens externes