Mitre Logo

Qu'est-ce que MITRE ATT&CK, quels sont les critères d'évaluation, qui l'utilise, et qu'est-ce que ça implique pour les experts et les éditeurs de solutions de cybersécurité ?
Le point sur ce framework, les techniques et les tactiques évaluées, ainsi que sur l'évaluation de l'EDR d'HarfangLab.

Qu’est-ce que MITRE ATT&CK?

MITRE ATT&CK est un cadre de travail (framework) de référence pour évaluer les capacités de détection, la chasse aux menaces (hunting), la gestion des risques, la Threat Intelligence...

Né en 2013, c’est une alternative à la CyberKill Chain développée par Lockheed Martin. Ce framework évolue régulièrement pour s’adapter au contexte cyber.

MITRE ATT&CK se décline en 3 volets pour évaluer la détection sur :

  • les postes de travail et les serveurs d’entreprises en environnement Windows, Mac, Linux et Cloud (Enterprise ATT&CK) ;
  • mobile pour les systèmes d'exploitation iOS et Android (Mobile ATT&CK) ;
  • les réseaux industriels (ICS ATT&CK).

Au-delà d’une base de connaissances sur les tactiques et les techniques d’attaque des acteurs de la menace (espionnage, sabotage, cybercrime, hacktivisme...), c’est un outil qui favorise un socle de communication commun pour l’ensemble des acteurs de l’écosystème cyber. Il vise à documenter les tactiques, les techniques et groupes d’attaquants.

Les tactiques et techniques évaluées dans le cadre du MITRE

MITRE ATT&CK compte 14 tactiques comportant chacune des objectifs techniques. Les tactiques sont les suivantes :

  • Reconnaissance
  • Développement des ressources
  • Accès initial
  • Exécution
  • Persistance
  • Élévation des privilèges
  • Contournement des défenses
  • Accès aux identifiants
  • Découverte de l’environnement
  • Déplacement latéral
  • Collecte de données
  • Commande et contrôle
  • Exfiltration
  • Impact

A l’intérieur de ces tactiques, les techniques sont les méthodes employées par les attaquants. Elles vont dépendre de leurs objectifs, leurs compétences, la configuration de la cible visée... MITRE ATT&CK compte près de 200, et près de 400 sous-techniques.

Qui utilise MITRE ATT&CK?

Le framework MITRE ATT&CK est utile à différents acteurs de la cybersécurité. Les RSSI et DSI, ou encore les MSSP et SOC Managers, peuvent s’en servir comme outil d'aide à la décision pour évaluer les performances et la pertinence des solutions du marché.

Les chercheurs en Cyber Threat Intelligence (CTI) peuvent s’appuyer dessus pour catégoriser les menaces, et corréler les Techniques, Tactiques et Procédures (TTP) des différents groupes d’attaquants.

Il est aussi utile aux équipes Red Team pour faciliter la classification des vulnérabilités identifiées dans un Système d’Information.

Enfin, les éditeurs de solution de cybersécurité peuvent s’y référer pour évaluer leurs capacités de détection en vue de les améliorer, pour répondre aux besoins du marché et suivre l’évolution de la menace.

Outre son framework, MITRE ATT&CK propose aussi une grille d’évaluation MITRE Engenuity ATT&CK. C'est également un cadre pour présenter les techniques et les tactiques que leurs solutions couvrent.

L’évaluation MITRE ATT&CK de l’EDR d’HarfangLab

En 2023, HarfangLab a participé pour la première fois aux évaluations MITRE ATT&CK Engenuity.

Les évaluations ont consisté à émuler Turla, groupe d’attaquants connu pour ses intrusions ciblées et sa furtivité.
Turla exécute des campagnes ciblées visant à exfiltrer des informations sensibles des infrastructures Linux et Windows. En pratique, après s'être implanté et avoir recensé les victimes, Turla persiste avec une empreinte minimale grâce à des implants en mémoire ou dans le noyau.

HarfangLab a détecté :

  • 100% des étapes (19/19)
  • 100% des tactiques (11/11)
  • 98% en temps réel (3 détections différées)

L’évaluation s'est déroulée en deux temps.

MITRE ATT&CK : scénario initial

La solution a été testée sur un premier scénario comportant différentes étapes :

  • Compromission initiale
  • Établissement de l'accès initial
  • Découverte de l’environnement et élévation des privilèges
  • Persistance
  • Déplacement latéral vers le contrôleur de domaine
  • Préparation du déplacement latéral vers le deuxième hôte
  • Déplacement latéral vers le deuxième poste de travail
  • Collecte d’identifiants sur un poste d’administration
  • Déplacement latéral vers le serveur Linux
  • Installation d'un "Watering hole" (compromission d’une entité identifiée comme étant digne de confiance, pour leurrer les utilisateurs et propager un logiciel malveillant)

MITRE ATT&CK : second scénario

La solution a été testée sur un second scénario dont les étapes sont les suivantes :

  • Compromission initiale
  • Installation d'un rootkit
  • Découverte d’un poste de travail
  • Déplacement latéral vers le serveur de fichiers
  • Découverte du domaine
  • Préparation du déplacement latéral vers le poste de travail de l'administrateur
  • Déplacement latéral vers le poste de travail de l'administrateur et persistance
  • Déplacement latéral vers le serveur Exchange
  • Découverte et collecte des e-mails

Une équipe constituée d’un gestionnaire de projet, de l’équipe CTI et d’un support DevOps, back-end et front-end, s’est mobilisée sur 3 jours pour faire face aux attaques lancées par l’équipe Red Team du MITRE, et répondre aux questions sur les preuves de détection de l’EDR (vous pouvez faire un tour dans les coulisses).

A l’intérieur de chaque étape, il y a des sous-étapes pour lesquelles MITRE ATT&CK attribue une classification de la détection de la plus précise à la moins spécifique : technique, tactique, détection générale, télémétrie. Cette classification permet d’évaluer la façon dont l’outil a détecté l’événement.

Les résultats sont ensuite consolidés par MITRE ATT&CK pour l’ensemble des participants, en vue d’être diffusés publiquement.

C’est un test exigeant et aussi reconnu internationalement, qui offre une grille d’appréciation de référence pour les experts et les décideurs du secteur de la cybersécurité, et qui, à travers son niveau d’exigence, contribue à tirer l’ensemble des acteurs vers le haut.

Envie d'en savoir plus sur notre EDR ?
Découvrez les raisons de faire confiance à HarfangLab pour protéger vos endpoints :