MITRE ATT&CK Evaluation

Qu'est-ce que MITRE ATT&CK, quel est son usage pour évaluer un EDR, quels sont les critères d'évaluation, qui l'utilise, et qu'est-ce que ça implique pour les experts et les éditeurs de solutions de cybersécurité ?
Le point sur ce framework, les techniques et les tactiques évaluées, ainsi que sur l'évaluation de l'EDR d'HarfangLab.

Qu’est-ce que MITRE ATT&CK?

MITRE ATT&CK est un cadre de travail (framework) de référence pour évaluer les capacités de détection, la chasse aux menaces (hunting), la gestion des risques, la Threat Intelligence...

Né en 2013, c’est une alternative à la CyberKill Chain développée par Lockheed Martin. Ce framework évolue régulièrement pour s’adapter au contexte cyber.

MITRE ATT&CK se décline en 3 volets pour évaluer la détection sur :

  • les postes de travail et les serveurs d’entreprises en environnement Windows, Mac, Linux et Cloud (Enterprise ATT&CK) ;
  • mobile pour les systèmes d'exploitation iOS et Android (Mobile ATT&CK) ;
  • les réseaux industriels (ICS ATT&CK).

Au-delà d’une base de connaissances sur les tactiques et les techniques d’attaque des acteurs de la menace (espionnage, sabotage, cybercrime, hacktivisme...), c’est un outil qui favorise un socle de communication commun pour l’ensemble des acteurs de l’écosystème cyber. Il vise à documenter les tactiques, les techniques et groupes d’attaquants.

Les tactiques et techniques évaluées dans le cadre du MITRE

MITRE ATT&CK compte 14 tactiques comportant chacune des objectifs techniques. Les tactiques sont les suivantes :

  • Reconnaissance
  • Développement des ressources
  • Accès initial
  • Exécution
  • Persistance
  • Élévation des privilèges
  • Contournement des défenses
  • Accès aux identifiants
  • Découverte de l’environnement
  • Déplacement latéral
  • Collecte de données
  • Commande et contrôle
  • Exfiltration
  • Impact

A l’intérieur de ces tactiques, les techniques sont les méthodes employées par les attaquants. Elles vont dépendre de leurs objectifs, leurs compétences, la configuration de la cible visée... MITRE ATT&CK compte près de 200, et près de 400 sous-techniques.

Qui utilise MITRE ATT&CK?

Le framework MITRE ATT&CK est utile à différents acteurs de la cybersécurité. Les RSSI et DSI, ou encore les MSSP et SOC Managers, peuvent s’en servir comme outil d'aide à la décision pour évaluer les performances et la pertinence des solutions du marché.

Les chercheurs en Cyber Threat Intelligence (CTI) peuvent s’appuyer dessus pour catégoriser les menaces, et corréler les Techniques, Tactiques et Procédures (TTP) des différents groupes d’attaquants.

Il est aussi utile aux équipes Red Team pour faciliter la classification des vulnérabilités identifiées dans un Système d’Information.

Enfin, les éditeurs de solution de cybersécurité peuvent s’y référer pour évaluer leurs capacités de détection en vue de les améliorer, pour répondre aux besoins du marché et suivre l’évolution de la menace.

Outre son framework, MITRE ATT&CK propose aussi une grille d’évaluation MITRE Engenuity ATT&CK. C'est également un cadre pour présenter les techniques et les tactiques que leurs solutions couvrent.

Détection et protection : l’évaluation MITRE ATT&CK de l’EDR d’HarfangLab

2023 : une première participation à MITRE ATT&CK pour évaluer la détection

Les évaluations ont consisté à émuler Turla, groupe d’attaquants connu pour ses intrusions ciblées et sa furtivité.
Turla exécute des campagnes ciblées visant à exfiltrer des informations sensibles des infrastructures Linux et Windows. En pratique, après s'être implanté et avoir recensé les victimes, Turla persiste avec une empreinte minimale grâce à des implants en mémoire ou dans le noyau.

En 2023, HarfangLab EDR a détecté :

  • 100% des étapes (19/19)
  • 100% des tactiques (11/11)
  • 98% en temps réel (3 détections différées)

MITRE 2024 : 100% de détection et 99% de précision

L’édition 2024 du MITRE a été marquée par plusieurs nouveautés, notamment l’évaluation de la détection sur macOS et des scénarios autour d’attaques par ransomware :

  • APT sur macOS avec une simulation d’attaque pouvant être menée par un acteur Nord-Coréen 
  • Ransomware sur Windows et Linux avec des simulations d’attaques par les groupes CL0P et LockBit

En plus de ses capacités de détection, HarfangLab a évalué sa protection et la gestion des faux positifs :

MITRE 2024 Results - Detection - Protection - False positives

  • 100% des attaques détectées
  • 8 étapes bloquées de manière immédiate, interrompant l’attaque dès la première action des attaquants (soit un blocage 30% plus efficace que la moyenne des participants)
  • Taux de précision de 99% pour l'évaluation des faux positifs

MITRE Evaluation : les scénarios de test

L’évaluation se déroule en plusieurs étapes. 

Tout d'abord, les scénarios de test sont joués.
Généralement, ces scénarios commencent par une compromission initiale et s'achèvent par l'atteinte des objectifs de l'attaquant.
Selon le type d'attaque émulée (ransomware, APT...), les étapes varient fortement. Elles peuvent par exemple inclure : compromission initiale, découverte de l'environnement et élévation de privilèges, mouvement latéral, compromission ou collecte de données...

Une dernière étape consiste à tester les capacités de protection de l'EDR en vérifiant s'il capable ou non de bloquer les attaques.

Pour l'ensemble de ces tests, une équipe constituée d’un responsable de projet, de l’équipe CTI et d’un support DevOps, back-end et front-end, s’est mobilisée sur 3 à 4 jours pour faire face aux attaques lancées par l’équipe Red Team du MITRE, et répondre aux questions sur les preuves de détection de l’EDR (vous pouvez faire un tour dans les coulisses 2023 et 2024).

A l’intérieur de chaque étape, il y a des sous-étapes pour lesquelles MITRE ATT&CK attribue une classification de la détection de la plus précise à la moins spécifique : technique, tactique, détection générale, télémétrie. Cette classification permet d’évaluer la façon dont l’outil a détecté l’événement.

A l'issue des journées de test, les résultats sont consolidés par MITRE ATT&CK pour l’ensemble des participants, en vue d’être diffusés publiquement.

C’est un test exigeant et aussi reconnu internationalement, qui offre une grille d’appréciation de référence pour les experts et les décideurs du secteur de la cybersécurité, et qui, à travers son niveau d’exigence, contribue à tirer l’ensemble des acteurs vers le haut.

Envie d'en savoir plus sur notre EDR ?
Découvrez les raisons de faire confiance à HarfangLab pour protéger vos endpoints :