MITRE ATT&CK: 2 jours d’atelier intensif pour déjouer les techniques des cybercriminels

« Les cambrioleurs de maisons ont leurs petites habitudes… La police les connaît. Ils entrent par la pièce qui est dépourvue d’alarme durant la nuit: en général, c’est la chambre à coucher. En les empêchant d’emprunter ce chemin, on les oblige à chercher des voies plus compliquées ou plus risquées pour eux », nous explique Freddy Dezeure, consultant indépendant en cybersécurité, et intervenant lors de l’atelier MITRE ATT&CK au C3 (Cybersecurity Competence Center), organisé par CIRCL et MITRE.

De la même manière, l’étude des scénarios de cyber-attaque permet de déjouer les stratagèmes des cybercriminels. Ces derniers sont de plus en plus agiles et mobiles, ce qui rend les techniques de défense classique peu efficaces. Ils sont capables de mener des attaques au départ de centaines ou de milliers d’adresses IP… Donc rien ne sert de bloquer une adresse IP ou un domaine supposé hostile, car pendant ce temps, l’attaquant sera déjà passé à autre chose.

Il s’agit donc d’étudier les scénarios d’attaques complets (et complexes) plutôt que des vecteurs isolés les uns des autres.

C’est dans cette optique que MITRE a développé une taxonomie de 290 tactiques d’attaque et de préattaque. Cette taxonomie a plusieurs avantages :

1.       Elle peut être utilisée pour faciliter le partage d’informations et fournit une contextualisation des informations sur les attaques

2.       Elle peut être utilisée pour identifier des failles de sécurité

3.       Chaque technique utilisée par les hackers est bien documentée et peut aider les victimes a mieux réagir et se défendre.

L’atelier qui s’est tenu durant 2 journées au C3 a rassemblé des participants de tous horizons (administrations, fournisseurs, grands comptes…) et venant des quatre coins du monde. Leur objectif: partager leurs expériences et renforcer la taxonomie des scénarios d’attaque afin de parler le même langage pour améliorer les outils de prévention, de détection des attaques, et de réponse sur incident.

Une compréhension plus fine des tactiques des adversaires permet aux défenseurs de mettre en place des systèmes de défense technique ou organisationnelle plus efficaces. Ceci afin de réduire les chances de succès des attaques, dès leur phase préliminaire.

Selon Richard J Struse, Chief Strategist Cyber Threat Intelligence chez MITRE « Ce qui est intéressant dans cette taxonomie, c’est qu’elle décrit uniquement des scénarios d’attaque, et pas les vulnérabilités ou des incidents qui seraient délicats à exposer. Nous parlons du comportement des attaquants, pas des dégâts causés ou des victimes. Cela permet vraiment d’atteindre un excellent niveau de collaboration, car les entreprises et les organisations n’aiment pas dévoiler leurs faiblesses, leurs incidents… »

Quels résultats ? 

« Le plus important, c’est de créer des relations. Cet événement nous a permis de créer de nouvelles relations avec les utilisateurs du modèle de taxonomie, dans le but de l’améliorer continuellement. C’est vraiment important pour nous, car aucune organisation n’a les réponses à toutes les questions.
Et c’est très motivant de voir autant de monde qui contribue sur base volontaire. Non seulement, nous avons établi de nouvelles relations, mais nous voyons aussi que les participants créent des liens entre eux pour partager et collaborer dans le domaine de l’analyse de la menace », conclut Richard J Struse.

D’après les participants, l’atelier organisé a permis de créer une dynamique d’interaction et de discussions très fructueuses sur la manière d’utiliser et d’implémenter le modèle ATT&CK. Une prochaine édition est déjà envisagée pour le mois d’octobre.