Maintenant que notre SIEM est bien installé et configuré, passons aux scénarios d’attaque. Une attaque informatique suit en général un schéma ou mode opératoire que nous pouvons modéliser. Le but est d'identifier les étapes clés d'une attaque, ainsi que son cheminement.
Identifiez les phases d'une cyberattaque
Comme nous l'avons vu dans la partie 1 de ce cours, les attaquants utilisent des modes opératoires schématisés par le cycle de vie d'une attaque et regroupés en TTP (tactiques, techniques et procédures).
De nombreux cas sont documentés, et vous pouvez retrouver la liste de groupes d'attaquants connus et leur mode opératoire sur le site du MITRE.
En sélectionnant un des groupes, vous pourrez accéder à plus d'informations. Dans l'exemple ci-dessous, nous pouvons retrouver plus d'informations concernant le groupe d'attaquants APT28 :
la description ;
les secteurs ciblés ;
les alias (noms utilisés dans les rapports de threat intelligence) ;
les techniques et tactiques associées.
Ces informations sont utiles pour notre architecture, car elles permettent d'identifier des comportements suspects sur notre SI. Elles sont également utiles pour simuler des attaques.
Découvrez la matrice ATT&CK
La matrice ATT&CK répertorie les tactiques et techniques utilisées par les attaquants lors d'une attaque. C'est une base de connaissances basée sur des observations du monde réel. La matrice ATT&CK fournit une taxonomie commune des tactiques et objectifs des adversaires.
Avoir une taxonomie est très utile pour les analystes sécurité parce qu’elle établit un vocabulaire commun pour échanger des informations avec la communauté. La matrice sert également de cadre technique pour catégoriser vos efforts de détection et identifier les lacunes à renforcer dans votre architecture. En ce sens, elle peut être utilisée pour simuler des attaques et mettre en place des scénarios réels, dans le but d'éprouver votre sécurité.
Les objectifs d’utilisation de la matrice pour votre SI sont donc multiples :
effectuer une analyse de vos moyens de détection et identifier les faiblesses en amont ;
améliorer vos détections des menaces et votre méthodologie d'investigation ;
tester vos règles de détection pour vous assurer que vous êtes alerté comme prévu.
Elle est composée de 12 tactiques qui contiennent différentes techniques et décrivent les phases classiques d'une attaque.
Tactiques
L'objectif stratégique d'un attaquant peut être d'extorquer de l'argent au moyen d'une rançon, de voler des informations, ou tout simplement de détruire l'environnement informatique d'une organisation. Pour atteindre ces objectifs, les attaquants mettent en place toute une série d'actions progressives – des tactiques.
On va généralement retrouver les différentes étapes d'une attaque, en commençant par l'accès initial (Id TA0001 sur la matrice), en passant par des phases intermédiaires d'exécution (TA0002), d'élévation de privilèges (TA0004) ou de mouvement latéraux (TA0008), pour finalement aboutir aux phases de collection (TA0009) et d'exfiltration (TA0010).
Techniques
Les tactiques spécifient ce que l'attaquant tente de faire, les techniques décrivent les différentes méthodes développées par les attaquants pour mener une tactique.
Par exemple, si les attaquants maintiennent leur accès sur le SI compromis, c'est la tactique de persistance. Cette tactique peut être menée à bien de plusieurs manières répertoriées en techniques. Il est possible de créer une clé de registre RUN (T1547.007), ou encore de créer un service malveillant qui permettra l'exécution du logiciel malveillant à chaque reboot ou à un instant T (T1543.002).
Pour chaque technique, la matrice fournit des exemples de cas connus où la technique est :
utilisée par un groupe d'attaquants ;
ou implémentée par un logiciel malveillant.
Toutes ces informations vous permettent d'identifier de manière plus précise les techniques utilisées, afin d'ajuster en profondeur vos mécanismes de supervision et de détection.
Utilisation de la matrice
La matrice est un outil polyvalent qui rend les exercices de Red Team plus efficaces, par la mise en place des scénarios d'attaque réels, et en copiant des modes opératoires connus. Elle fournit également aux équipes du SOC une présentation concise et complète du cycle de vie d’une attaque. Grâce à ses schémas, les équipes du SOC ont des moyens de comprendre les attaquants, afin d'évaluer les contrôles actuels et les mécanismes de défense.
La matrice vous aidera à répondre aux questions suivantes :
Sur quelles tactiques nos moyens de surveillance sont-ils les plus faibles ?
Lesquelles sont les plus risquées pour notre environnement et nos activités ?
Quelles techniques peuvent être détectées à l'aide de la matrice, et comment réduire l'écart ?
Quelles techniques manquent de prévention pratique et de contrôles, et deviennent donc plus critiques pour la détection?
Lorsque vous identifiez des tactiques ou des techniques pour lesquelles votre organisation a besoin d'une meilleure détection, la matrice fournit les détails techniques pour vous aider. Éventuellement, elle vous permet de créer des règles de surveillance ou de mettre en place des contrôles proactifs, dans le but de détecter des menaces présentes sur le système.
En résumé
Nous venons de voir la matrice ATT&CK, qui :
répertorie les méthodes des attaquants par :
leurs tactiques, une série d’actions progressives pour effectuer une cyberattaque,
leurs techniques, les différentes méthodes spécifiques pour mener une tactique ;
établit un vocabulaire commun et aide les équipes SOC à renforcer leurs architectures par la simulation d’attaques réelles.
Dans le chapitre suivant, nous verrons comment utiliser la matrice pour simuler des cas réels d'attaque, et évaluer de manière pratique vos outils de sécurité et vos procédures de détection.
