ATT&CK

base de connaissance de cybermenaces et tactiques maintenues par The MITRE Corporation

ATT&CK (pour Adversarial Tactics, Techniques, and Common Knowledge) est une base de connaissance aidant a modeler les tactiques et techniques utilisées par les cyberadversaires, ainsi qu'a comprendre comment les détecter et les stopper[1]. Cette base de connaissance classifie et décrit les cyberattaques et les intrusions. Elle est créée et publiée par la société à but non lucratif MITRE en 2013[2].

Mitre ATT&CK
Présentation
Type
Fondation
Site web

Le cadre se compose de 14 catégories de tactiques constituées d'« objectifs techniques » d'un adversaire. Les exemples incluent l'élévation de privilèges et le commande et contrôle[3]. Ces catégories sont ensuite décomposées en techniques et sous-techniques spécifiques[3].

Le cadre est une alternative à la Cyber Kill Chain développée par Lockheed Martin[3].

Histoire

modifier

ATT&CK est créé en 2013 à la suite de l'expérience Fort Meade de MITRE, au cours de laquelle des chercheurs simulent le comportement de cyber-adversaires et de défenseurs afin d'améliorer la détection post-compromission des menaces grâce à la détection de la télémétrie et à l'analyse comportementale. Dans le but d’être capable de détecter des comportements documentés d'adversaires, ils développent la base de connaissance ATT&CK[4].

Utilisation

modifier

MITRE ATT&CK est utilisé dans le monde entier dans de multiples disciplines, notamment la détection d'intrusion, la chasse aux menaces, l'ingénierie en cyber-sécurité, le renseignement sur les menaces, le red teaming et la gestion des risques[5].

Déclinaisons

modifier

MITRE ATT&CK comprend trois déclinaisons[4] :

  • ATT&CK pour entreprises se concentre sur les comportements adverses dans les environnements Windows, Mac, Linux et Cloud.
  • ATT&CK pour mobiles se concentre sur le comportement des adversaires sur les systèmes d'exploitation iOS et Android.
  • ATT&CK pour ICS se concentre sur la description des actions qu'un adversaire peut entreprendre lorsqu'il opère au sein d'un réseau industriel.

Références

modifier
  1. (en) « MITRE ATT&CK », sur MITRE, (consulté le )
  2. (en) « What is the MITRE ATT&CK Framework? », Rapid7 (consulté le )
  3. a b et c (en) « What is the Mitre Attack Framework? », crowdstrike.com (consulté le )
  4. a et b (en) « What Is the MITRE ATT&CK Framework? », sur www.trellix.com (consulté le )
  5. (en) Blake Strom, Andy Applebaum, Douglas Miller et Kathryn Nickels, « MITRE ATT&CK: Design and Philosophy », The MITRE Corporation,‎ (lire en ligne, consulté le )

Voir aussi

modifier

Liens externes

modifier