Comment utiliser le MITRE ATT&CK pour analyser une menace informatique ?

Cyberwatch Vulnerability Manager est capable de générer une matrice MITRE ATT&CK pour faire une analyse de risque sur votre système d’information. Découvrez comment fonctionne cette méthode dans cet article technique de notre blog.

MITRE ATT&CK est un outil d’analyse de la menace

MITRE est une organisation à but non lucratif créée en 1958 dont l’objectif est de « résoudre les problèmes pour un monde plus sûr ».

MITRE est historiquement connu dans le monde de la sécurité informatique pour maintenir la liste des Common Vulnerabilities and Exposures (CVE), où toute vulnérabilité publiée au niveau international reçoit un code au format CVE-ANNEE-REFERENCE (où ANNEE correspond à l’année de publication, et REFERENCE à un numéro qui s’incrémente à chaque nouvelle vulnérabilité publiée dans l’année étudiée).

En 2013, MITRE crée un modèle d’analyse de la menace pesant sur un environnement Windows utilisé en entreprise.

Ce modèle a ensuite fait l’objet d’analyses et d’évolutions complémentaires jusqu’à mai 2015, où il est rendu public pour la première fois avec 96 techniques réparties dans 9 tactiques.

MITRE a ensuite étendu le périmètre de son modèle d’analyse afin de couvrir un spectre plus large de systèmes, avec Windows, Linux, et macOS, pour sortir en 2017 l’outil « MITRE ATT&CK For Enterprise ».

Depuis, MITRE a créé d’autres grilles d’analyses comme MITRE ATT&CK For Mobile, dédié aux appareils Android et iOS, et MITRE ATT&CK For ICS pour les systèmes industriels.

Aujourd’hui, MITRE ATT&CK For Enterprise est le modèle d’analyse de la menace le plus connu de la série. Lorsqu’un expert en sécurité informatique parle du MITRE ATT&CK, sans préciser plus de détails, il y a de fortes chances que l’on parle en fait du MITRE ATT&CK For Enterprise.

MITRE ATT&CK repose sur une analyse des techniques et tactiques utilisées par des adversaires

ATT&CK signifie « Adversarial Tactics, Techniques, and Common Knowledge », c’est-à-dire des tactiques, techniques, et connaissances basiques sur des adversaires.

MITRE ATT&CK For Enterprise décompose une attaque informatique complète en 14 étapes nommées tactiques

MITRE ATT&CK For Enterprise découpe ainsi une attaque informatique selon 14 tactiques (12 dans la matrice classique MITRE ATT&CK, et 2 complémentaires issues de la matrice PRE ou pré-attaque) :

1. Reconnaissance (pré-attaque, TA0043) : l’adversaire essaie de rassembler des informations qu’il pourra utiliser pour planifier de futures opérations ;
2. Préparation des ressources (pré-attaque, TA0042) : l’adversaire essaie d’établir des ressources qu’il peut utiliser pour soutenir les opérations ;
3. Accès initial (TA0001) : l’adversaire essaie d’accéder à votre réseau ;
4. Exécution (TA0002) : l’adversaire tente d’exécuter un code malveillant ;
5. Persistance, ou Maintien des accès (TA0003) : l’adversaire tente de maintenir son emprise ;
6. Élévation de privilèges (TA0004) : l’adversaire tente d’obtenir des autorisations de niveau supérieur ;
7. Évasion (TA005) : L’adversaire essaie d’éviter d’être détecté ;
8. Accès aux informations d’authentification (TA0006) : l’adversaire tente de voler les noms de compte et les mots de passe ;
9. Découverte (TA0007) : l’adversaire essaie de comprendre votre environnement ;
10. Déplacement latéral (TA0008) : l’adversaire essaie de se déplacer dans votre environnement ;
11. Collecte (TA0009) : l’adversaire essaie de collecter des données d’intérêt pour son objectif ;
12. Commande et contrôle (TA0011) : l’adversaire essaie de communiquer avec des systèmes compromis pour les contrôler ;
13. Exfiltration (TA0010) : l’adversaire essaie de voler des données ;
14. Impact (TA0040) : l’adversaire essaie de manipuler, d’interrompre ou de détruire vos systèmes et vos données.

Ces 14 étapes ou tactiques forment les 14 colonnes de la matrice MITRE ATT&CK For Enterprise complète.

Les tactiques sont référencées TAXXX dans le MITRE ATT&CK, où XXX est une série de chiffres.

Ces 14 tactiques sont constituées de 188 techniques et 379 sous-techniques qui permettent à un adversaire de réaliser une attaque informatique

Pour avancer dans chaque étape d’une attaque informatique complète, un adversaire utilise des techniques d’attaques, notées TXXXX où XXXX est une série de chiffres.

Par exemple, l’étape « Accès initial » (TA001) pourra être réalisée via une technique d’attaque de type « Hameçonnage » (T1566) ou par « l’Exploitation d’une application exposée publiquement » (T1190).

L’analyse proposée par MITRE ATT&CK est extrêmement détaillée et permet de définir de manière précise les techniques utilisées. Cette décomposition mène à ce que l’on appelle des sous-techniques. Ainsi, une attaque de type « Hameçonnage » pourra se produire via une opération ciblée, comme du Spearphishing (ou « Hameçonnage ciblé »), par un « Hameçonnage ciblé avec pièce-jointe » (T1566.01) ou par un « Hameçonnage ciblé avec lien » (T1566.002).

Le MITRE ATT&CK For Enterprise recense ainsi 188 techniques, elles-mêmes décomposées en 379 sous-techniques.

Chaque sous-technique est notée TXXXX.YYY où XXXX et YYY sont des séries de chiffres. Une sous-technique TXXXX.YYY fera systématiquement partie de la technique TXXXX.

Chaque technique fait partie d’une ou plusieurs tactiques. Une technique est mise en forme dans la matrice MITRE ATT&CK sous forme de cases, situées sous la ou les tactique(s) correspondante(s).

Une analyse MITRE ATT&CK consiste à projeter le risque cyber d’un périmètre à partir des données de sécurité disponibles, puis à le comparer à une menace connue

Un risque cyber peut se projeter dans la matrice MITRE ATT&CK à l’aide de données de sécurité

Une analyse MITRE ATT&CK se fait sur un périmètre donné. Pour ce périmètre, il faut alors récupérer les données de sécurité disponibles.

Dans le cadre d’un scan de vulnérabilités par exemple, les données disponibles sont les CVE qui affectent le périmètre étudié.

Or, la matrice MITRE ATT&CK ne sait pas directement prendre en charge des CVE. Il faut impérativement passer par ses données de base, à savoir calculer la liste des techniques et sous-techniques liées qui peuvent être utilisées sur le périmètre étudié.

Pour cela, nous allons passer par les catégories des vulnérabilités, aussi appelées Common Weakness Enumeration (CWE).

Lorsqu’une vulnérabilité CVE est évaluée par la National Vulnerability Database (NVD), elle reçoit un score allant de 0 à 10 (score CVSS), ainsi qu’une catégorie dans le format CWE.

Cette classification permet de décrire le type de la vulnérabilité et son utilisation principale dans le cadre d’une attaque informatique.

Par exemple, la vulnérabilité CVE-2022-21994 est liée à la CWE-269 « Improper Privilege Management » ou « Gestion incorrecte des privilèges ».

Pour passer de cette information aux techniques du MITRE ATT&CK, nous allons passer par un mécanisme de classification nommé Common Attack Pattern Enumeration and Classification (CAPEC), qui permet de décrire les schémas d’attaques possibles.

Une CVE peut être transformée en techniques via les CAPEC

A partir d’un code CWE, il est possible de consulter l’ensemble des schémas d’attaques qui utilisent la famille de vulnérabilités étudiée.

Par exemple, CWE-269 « Improper Privilege Management » est utilisée dans 3 types de schémas d’attaque d’après MITRE :

• CAPEC-122 : Privilege Abuse ;
• CAPEC-233 : Privilege Escalation ;
• CAPEC-58 : Restful Privilege Elevation.

Il faut ensuite consulter chaque CAPEC afin d’identifier la présence de marqueurs sous forme de techniques d’attaque.

Ici, CAPEC-233 correspond à la technique d’attaque T1548 d’après MITRE.

La matrice MITRE ATT&CK peut alors être tracée à partir des techniques liées aux différentes CVE présentes, afin d’établir la kill chain du système étudié

A partir des techniques d’attaques calculées avec les CVE, un analyste peut tracer la matrice MITRE ATT&CK sous forme de représentation statistique.

En comptant l’ensemble des techniques activées par les différentes CVE du système d’information, il est possible de mettre en avant les techniques qui représentent les risques les plus importants en terme d’exploitation.

Ce tracé représente ce que l’on appelle la « Kill chain » ou « chaîne de frappe » du système étudié, c’est-à-dire un chemin d’attaque plausible pour mener à terme une cyberattaque.

L’analyse MITRE ATT&CK permet alors de comparer la kill chain d’un système étudié à une menace potentielle

Une fois la kill chain identifiée, il suffit de projeter sur la matrice MITRE ATT&CK les techniques d’attaque qui caractérisent une menace, afin d’identifier la zone de recouvrement entre la menace analysée et la kill chain existante.

Plus le recouvrement est important, plus le risque d’exécution de la menace analysée est élevé.

Cas d’usage : votre organisation est-elle concernée par Hermetic Wiper ?

Hermetic Wiper est un virus de type wiper qui a été utilisé contre des entreprises ukrainiennes en janvier et février 2022.

D’après ZScaler, le mécanisme d’attaque utilisé fait intervenir plusieurs points proches de la menace Gamaredon.

MITRE fournit une base complète de menaces étudiées avec les techniques associées.

Pour vérifier si le système d’information est exposé à Gamaredon, il suffit alors de combiner la projection du risque cyber actuel avec les données de Gamaredon.

Le faible niveau de superposition montre que le système n’est pas ou peu exposé à une attaque comme Gamaredon.

Si malgré tout l’analyste souhaite durcir le système d’information, l’approche consistera à neutraliser en priorité les vulnérabilités portant sur la colonne Discovery, qui présente 4 cas de superpositions.

La plateforme Cyberwatch vous permet de tracer la matrice MITRE ATT&CK de vos vulnérabilités et de comparer votre exposition à une bibliothèque de menaces

Cyberwatch Vulnerability Manager vous permet de calculer votre exposition à une menace à l’aide du MITRE ATT&CK For Enterprise.

Le tracé se fait automatiquement pour vous, et contient de nombreuses familles de menaces préconfigurées pour faciliter vos analyses de risques.

Demandez une démonstration avec nos experts via le formulaire dédié ou par téléphone au +33 1 85 08 69 79.