DISARM ne fait pas les pommes de terre frites…
Connaissez-vous vraiment le framework DISARM ?
Dans le cadre des efforts visant à structurer les données liées aux campagnes de manipulation de l’information ou de lutte contre la désinformation, DISARM permet de normaliser la description des actions des acteurs malveillants. Cette normalisation, inspirée de la matrice ATT&CK de MITRE, répond à plusieurs besoins en cybersécurité. Tout comme la matrice ATT&CK, qui est un outil flexible pour décrire les techniques d’attaque, DISARM peut être utilisée de différentes manières pour structurer ces informations.
Cependant, DISARM a ses limites. À l’instar d’un chat, la matrice DISARM est, au mieux, un semi-liquide (oui, il existe une étude en physique sur cette question). En effet, elle ne s’adapte pas à toutes les situations et, surtout, surtout… ne fait pas les pommes de terre frites.
La principale question à laquelle DISARM répond est la suivante : comment structurer les données pour identifier des schémas récurrents d’attaques (ou « patterns ») ? Cette approche permet d’organiser les données des campagnes de manipulation de l’information de manière à les rendre analysables. En effet, la structuration des données permet de monter en abstraction et ainsi d’identifier d’éventuels patterns.
Surtout, cette structuration permet, d’intégrer ces données dans une base de données.
DISARM complète la matrice ATT&CK de MITRE. Conçue dès le départ pour fonctionner avec l’ontologie STIX (un format structuré pour décrire les cyberattaques) DISARM n’est pas suffisante seule.
Pour que le comportement de l’attaquant, décrit de manière normalisé (sous forme de tactiques, techniques et procédures), soit pleinement exploité, il doit être enrichi par des informations techniques complémentaires : noms de domaines, adresses IP, comptes utilisateurs, etc. Ces informations seront alors décrite via le langage STIX et pourront ensuite être utilisées pour des investigations poussées ou des actions concrètes.
Pour conclure, même si c’est à vous d’inventer la «vie» qui va avec, toutes les exploitations de DISARM ne seront pas forcément pertinentes ni valides.
