Aller au contenu

Permalien de la page

Utilisez toujours le permalien suivant lorsque vous faites référence à cette page. Il restera inchangé dans les futures versions de l’aide.

https://docs.sophos.com/central/mdr/help/fr-fr/index.html?contextId=mitre

MITRE ATT&CK

Qu’est-ce que MITRE ATT&CK ?

MITRE ATT&CK est une base de connaissances mondiale répertoriant les tactiques et techniques de cyberattaque, basée sur des observations concrètes. Celles-ci sont présentées sous forme de matrices organisées par étapes d’attaque, de l’accès initial au système au vol de données ou au contrôle de la machine.

Le nom ATT&CK est un acronyme signifiant Adversarial Tactics, Techniques & Common Knowledge. Les tactiques sont le « pourquoi » des techniques d’attaque. Les techniques sont le « comment » : la méthodologie permettant d’exécuter l’action et d’atteindre l’objectif tactique recherché. Les procédures connues (ou Common Knowledge en anglais) sont les tactiques et techniques utilisées au cours d’une attaque et qui ont été documentées par les analystes.

Chaîne d’attaque Mitre.

Définitions du cadre

  • Accès initial : L’adversaire tente d’accéder à votre réseau par le biais d’attaques de phishing ciblées et d’exploiter les faiblesses sur les serveurs Web publics
  • Exécution : L’adversaire tente d’exécuter du code malveillant sur un système local ou distant pour atteindre des objectifs plus larges, tels que l’exploration d’un réseau ou le détournement de données
  • Persistance : L’adversaire tente de conserver l’accès au système lors de son redémarrage, ou en cas de modifications d’identifiants ou d’autres interruptions qui pourraient lui en bloquer l’accès
  • Élévation des privilèges : L’adversaire tente d’obtenir des autorisations de niveau supérieur en exploitant les faiblesses, erreurs de configuration ou vulnérabilités du système ou du réseau
  • Évasion de défense : L’adversaire tente d’éviter la détection en désinstallant/désactivant le logiciel de sécurité ou en masquant/chiffrant les données et les scripts
  • Accès aux identifiants : L’adversaire tente de détourner des noms de compte et des mots de passe pour accéder aux systèmes, ce qui les rend beaucoup plus difficiles à détecter
  • Découverte : L’adversaire tente de comprendre votre environnement en acquérant des connaissances sur le système et le réseau interne
  • Mouvement latéral : L’adversaire tente de se déplacer dans votre environnement pour trouver sa cible et y accéder par la suite
  • Collecte d’informations : L’adversaire tente de recueillir des données pertinentes
  • Command and Control : L’adversaire tente de communiquer avec des systèmes compromis afin de les contrôler
  • Exfiltration des données : L’adversaire tente de voler des données sur votre réseau, généralement sous forme de package pour éviter leur détection lors du processus d’exfiltration
  • Impact : L’adversaire tente de manipuler, d’interrompre ou de détruire vos systèmes et vos données afin de perturber leur disponibilité ou de compromettre leur intégrité en manipulant les processus commerciaux et opérationnels

Retrouvez plus de renseignements sur la structure MITRE ATT&CK, sur https://attack.mitre.org/.

Connexion des données d’alerte et de MITRE ATT&CK

Dès que Sophos MDR est activé sur un appareil (qu’il s’agisse d’un terminal ou d’un serveur), ou qu’une intégration est ajoutée, la plate-forme MDR collecte et analyse certaines catégories de données en continu. En analysant les données conformément à la structure MITRE, l’équipe MDR Ops utilise une méthode normalisée pour les classer selon des catégories de Techniques et Tactiques. Ceci lui permet de mieux comprendre comment un cybercriminel exploite les vulnérabilités logicielles dans les applications clientes.

Les pare-feu surveillent le trafic réseau entrant et sortant, en fonction des stratégies de sécurité déjà établies par l’organisation.

Exemples de détections

  • Apache Log4j logging remote code execution attempt
  • MALWARE-CNC Win.Trojan.Mirage outbound connection
  • ELECTRICFISH Command and Control traffic detection
  • Nette code injection vulnerability

Exemples de découvertes par la chasse aux menaces

  • Nombre élevé de refus d’accès - Tentatives de communication malveillantes et recherche d’appareils mal configurés
  • Balisage des malwares - Permet aux hôtes de revenir à un serveur Command and Control (C2)
  • Contrôle ICMP interne - Le hacker tente de contrôler et de mapper l’environnement réseau de la cible

Trois Tactiques MITRE détectables avec les données provenant du pare-feu

  • C2 - L’adversaire tente de communiquer avec des systèmes compromis afin de les contrôler
  • Accès initial - L’adversaire tente de gagner l’accès à votre réseau
  • Accès aux identifiants - L’adversaire tente de détourner des noms de compte et des mots de passe

Les outils de sécurité destinés au Cloud public assurent la sécurité et la conformité des services Cloud tels que AWS, Microsoft Azure, Google Cloud et Kubernetes.

Exemples de détections

  • Impact : EC2/BitcoinDomainRequest.Reputation
  • Backdoor : Activité EC2/C2
  • Découverte : S3/MaliciousIPCaller
  • Détection d’un enregistrement DNS non résolu pour une ressource de service d’appli

Exemples de découvertes par la chasse aux menaces

  • Renforcement de l’environnement Cloud - Identifiez les ressources à mettre à jour, les ports à fermer et/ou appliquez l’authentification multifacteur (MFA)
  • Chasse aux comportements malveillants ou inhabituels - Identifiez les changements d’autorisations ou les actions qu’un utilisateur n’effectue jamais en dehors des heures de travail habituelles, les ports d’administration connectés à Internet (par exemple, RDP/SSH)

Trois Tactiques MITRE détectables avec les données provenant du Cloud

  • Persistance - L’adversaire tente de maintenir sa présence sur le réseau
  • Élévation des privilèges - L’adversaire tente d’obtenir des autorisations de niveau supérieur
  • Accès aux identifiants - L’adversaire tente de détourner des noms de compte et des mots de passe

Les outils de sécurité de la messagerie protègent contre le phishing, les URL malveillantes, la fuite de données et le contrôle des pièces jointes.

Exemples de détections

  • Campagne de malwares détectée dans SharePoint et OneDrive
  • Élévation des privilèges admin Exchange
  • L’utilisateur a accédé à un lien dans un email mis en quarantaine par ZAP
  • Pièce jointe non fiable

Exemples de découvertes par la chasse aux menaces

  • Les utilisateurs ont cliqué sur des liens suspects
  • Des artefacts de phishing (hameçonnage) ont été retrouvrés
  • Un terminal a bloqué un exécutable après l’ouverture d’une pièce jointe d’email
  • Des adresses email inattendues ont été ajoutées aux paramètres de transfert

Trois Tactiques MITRE détectables avec les données provenant de la messagerie

  • Accès initial - L’adversaire tente de gagner l’accès à votre réseau
  • Impact - L’adversaire tente d’obtenir des autorisations de niveau supérieur
  • Exécution - L’adversaire tente d’exécuter du code malveillant

Les outils de gestion des identités et des accès (IAM) gèrent les identités numériques et l’accès des utilisateurs aux données, aux systèmes et aux ressources au sein d’une organisation.

Exemples de détections

  • Échec de la connexion
  • Élévation des privilèges - Première utilisation d’un privilège donné
  • Modifications des stratégies relatives aux domaines
  • Premier accès à distance sur un hôte donné

Exemples de découvertes par la chasse aux menaces

  • Taux d’erreurs dans le flux de connexions - Augmentation suspecte du nombre d’erreurs de saisie du nom d’utilisateur ou du mot de passe, pouvant être un signe d’une attaque de « Credential stuffing »
  • Taux d’événements de protection contre les attaques - Augmentation suspecte du nombre d’événements de protection contre les attaques (par ex. détection de mots de passe corrompus ou d’attaques par force brute sur plusieurs comptes)

Trois Tactiques MITRE détectables avec des données relatives aux identités

  • Accès aux identifiants - L’adversaire tente de détourner des noms de compte et des mots de passe
  • Évasion de défense - L’adversaire tente d’éviter la détection
  • Élévation des privilèges - L’adversaire tente d’obtenir des autorisations de niveau supérieur

Les outils de sécurité du réseau protègent les réseaux d’entreprises contre les menaces en détectant les anomalies présentes dans le flux du trafic réseau, généralement par le biais d’une combinaison d’analyse des données et de Machine Learning.

Exemples de détections

  • Backdoor : Mirai.Botnet
  • CVE-2014-6278 - SHELLSHOCK HTTP Exploit
  • Ressources SaaS supprimées
  • Exécute des commandes ou utilise l’API pour obtenir des informations système

Exemples de découvertes par la chasse aux menaces

  • Corrélation des données réseau - Avec des renseignements sur les processus pour détecter les évènements de transfert de données telle que l’archivage de fichiers
  • Campagnes du moment - Détectez les campagnes d’exploitation du jour zéro telles que log4j
  • Découvrir des entités obscures et des appareils non gérés - Recherchez les appareils sans protection EDR
  • Détection de l’algorithme de génération des domaines (DGA) - Identifiez les sources en communication avec les serveurs DGA

Trois Tactiques MITRE détectables avec les données provenant du réseau

  • C2 - L’adversaire tente de communiquer avec des systèmes compromis afin de les contrôler
  • Découverte - L’adversaire tente de comprendre votre environnement
  • Exfiltration des données - L’adversaire tente de voler des données