MITRE ATT&CK® 2020 : et maintenant des sous-techniques !

Le framework MITRE ATT&CK® continue de se réinventer pour suivre l’évolution des cybermenaces et aider à les modéliser au mieux.

Sous-techniques ATT&CK®

Après le lancement en début d’année d’une version ICS de son référentiel phare, le MITRE a annoncé la semaine dernière un grand changement pour ATT&CK® avec l’arrivée des sous-techniques qui vont quelque peu chambouler (mais également affiner) la modélisation des modes opératoires techniques des attaquants informatiques.

Il s’agit encore une version bêta. Elle le restera pendant environ 3 mois, le temps pour les équipes du MITRE de recevoir assez de feedback, de faire évoluer à la marge certaines techniques et sous-techniques et de laisser le temps à chacun de se former au nouveau modèle, pour une officialisation prévue en juillet 2020.

Dans les détails, certaines techniques ne sont pas modifiées (exemple : T1091 Replication Through Removable Media). Leurs noms ne changent pas et elles ne se déclinent pas en sous-techniques. D’autres changent de nom et disparaissent de certaines tactiques (comme T1105 Remote File Copy devenant Ingress Tool Transfer).

Téléchargez notre analyse : “Les infrastructures de “Command & Control” des attaquants cyber observés en 2020 par SEKOIA”

La plupart des changements concernent donc des techniques qui deviennent des sous-techniques. Ces dernières sont plus précises et permettront de modéliser plus finement les TTPs de nos adversaires.

Le MITRE met à la disposition des organisations et analystes utilisant ATT&CK® plusieurs fichiers CSV et JSON pour faciliter le nouveau mapping et la transition vers ce nouveau modèle.

Prochaine étape

Comme prévu dans sa roadmap 2020, MITRE ATT&CK® va relancer la prise en compte des contributions pour sa partie “base de connaissances” pour l’enrichir avec la description de nouveaux groupes d’attaquants et des outils (malwares et autres) qu’ils exploitent et mettre à jour l’existant.

Un autre gros chantier va concerner la fusion de la matrice PRE-ATT&CK (qui adresse les premières étapes “pré-exploitation” de la Cyber Kill Chain de Lockheed-Martin) dans la matrice principale ATT&CK®.

Sources et références :

• ATT&CK® with Sub-Techniques — What You Need to Know https://link.medium.com/IX4ifcb1A5
• ATT&CK® updates march 2020 https://attack.mitre.org/beta/resources/updates/updates-march-2020/index.html
• MITRE ATT&CK®: Design and Philosophy white-paper https://attack.mitre.org/docs/ATTACK_Design_and_Philosophy_March_2020.pdf
• ATT&CK® STIX content https://github.com/mitre/cti/tree/subtechniques