Et s’il existait un framework gratuit, accessible dans le monde entier et ouvert qui pourrait aider votre équipe à cartographier les attaques, à visualiser les forces et les faiblesses de votre environnement et à comprendre où vous pouvez renforcer les contrôles pour protéger les actifs critiques contre les attaquants ? Ce serait une aubaine pour votre équipe de sécurité, n’est-ce pas ? Voici une excellente nouvelle : cet outil existe déjà. En fait, il est disponible depuis 2013.
L’outil inestimable que vous n’exploitez probablement pas
Voici la moins bonne nouvelle : si de nombreuses équipes connaissent l’existence de cet outil, trop peu en maîtrisent l’utilisation, et encore moins en ont fait un élément central de leur workflow de sécurité. C’est un gros problème, surtout dans l’environnement de menace d’aujourd’hui.
Largement connu, mais sous-utilisé, l’outil est appelé le Cadre MITRE ATT & CK, et il est absolument essentiel pour traduire l’intelligence globale dynamique en une vue prédictive de la motivation d’un attaquant. Considérez le cadre MITRE comme une carte d’une attaque potentielle, y compris tous les points de votre environnement qui peuvent être piratés, et comment. MITRE ATT&CK vous montre l’impact qu’une attaque réussie peut avoir sur vos précieux atouts. Souvent appelé la cyber pierre de Rosette, le cadre MITRE donne aux analystes un moyen de traduire une cyberattaque en impact commercial, permettant à tous les membres de l’organisation de comprendre ce que l’attaquant a fait et a l’intention de faire ensuite.
Le danger de ne pas comprendre les attaques : évasion de sécurité
Vous vous demandez pourquoi vos commandes n’arrêtent pas les attaques ? Permettez-moi de vous donner un exemple de ce que nous constatons dans les équipes de sécurité de toutes formes et tailles.
Une organisation du secteur des infrastructures critiques est récemment venue nous voir parce qu’elle ne savait pas ce qu’elle pouvait faire pour empêcher la même attaque de rançongiciel de se reproduire encore et encore.
L’organisation dispose d’une équipe de sécurité assez importante, avec quelques dizaines d’analystes dans leur centre des opérations de sécurité (SOC) et une poignée d’analystes du renseignement sur les menaces. L’équipe s’est concentrée sur l’utilisation des renseignements sur les menaces pour renforcer son environnement en améliorant les contrôles de sécurité après chaque attaque et en utilisant des outils de détection et de réponse, la sécurité du périmètre, la sécurité du cloud et d’autres mesures.
Pourtant, ils voyaient toujours les mêmes types d’attaques échapper avec succès à leurs mesures de sécurité. Ils voulaient comprendre pourquoi cela se produisait et ce qu’ils pouvaient faire différemment.
Vous donner un moyen de traduire l’intelligence en actions pertinentes
Il était clair que cette organisation avait besoin du cadre MITRE ATT&CK pour mieux comprendre ses renseignements et obtenir des informations sur l’impact sur ses actifs critiques. Sans cela, ils n’avaient aucun moyen de traduire leur intelligence en bonnes actions. Ils ne pouvaient pas synthétiser toutes leurs données et leur intelligence pour répondre à des questions critiques telles que :
- Où se trouve l’agresseur ?
- Quelle est la motivation de l’agresseur ?
- Que devrions-nous rechercher d’autre ?
L’équipe de sécurité pourrait utiliser le cadre pour toutes les activités défensives faisant référence aux attaquants et à leurs comportements, en tirant parti de son lexique commun pour décrire les comportements contradictoires de manière standard. Nous avons montré à leurs analystes comment ils pouvaient utiliser MITRE ATT&CK pour :
- Cartographier leurs contrôles défensifs
- Chasse aux menaces
- Améliorez la détection des menaces et rationalisez les enquêtes
- Comprendre et référencer des acteurs spécifiques
- Partager des renseignements et des informations
- Améliorer les tests d’intrusion
Comment les équipes peuvent adopter le framework MITRE ATT&CK
Une fois que vous avez compris ce que ATT&CK peut faire, il est facile de comprendre pourquoi il est si important pour déjouer les adversaires.
Après avoir adopté MITRE ATT&CK comme langage commun et modèle pour décrire les attaques et les attaquants, l’équipe de sécurité de l’organisation d’infrastructure critique peut désormais traduire les aspects opérationnels de la sécurité et l’impact potentiel d’une attaque réussie. Cela aide l’équipe de sécurité à s’aligner sur la direction et à hiérarchiser ses activités. À l’aide du cadre MITRE ATT&CK, l’équipe de sécurité peut se connecter en amont et en aval du flux d’attaque pour comprendre et devancer les attaquants, avant qu’ils ne puissent perturber les opérations ou avoir un impact sur une infrastructure critique.
Alors pourquoi toutes les équipes de sécurité de la planète ne l’utilisent-elles pas déjà ? Le plus souvent, c’est à cause des défis liés à l’opérationnalisation de ce modèle nécessairement complexe. Mais les avantages dépassent de loin l’effort requis.
Pour en savoir plus sur la façon dont votre organisation peut utiliser le cadre MITRE, écoutez le podcast « Construire un cadre sécurisé avec XDR et MITRE ATT&CK.”
Marc Alba
Chef de produit chez Anomali
Mark Alba est directeur des produits chez Anomali, rejoignant la société en avril 2020. Mark a plus de 20 ans d’expérience dans la création, la gestion et la commercialisation de produits et services perturbateurs. Tout au long de sa carrière, Mark a été à l’avant-garde de l’innovation, dirigeant les efforts produits dans les start-up et les grandes entreprises, notamment Check Point Technologies, Security Focus, Symantec et Hewlett Packard Enterprise. Ses antécédents éprouvés comprennent la mise sur le marché du premier pare-feu d’appliance entièrement intégré du secteur de la sécurité, la direction de l’intégration de renseignements sur les menaces mondiales dans les technologies de sécurité périmétrique et l’introduction d’analyses avancées à l’appui des opérations de cybersécurité.
Source link