MITRE ATT&CK™ : de l’importance de la temporalité
La contribution de l’analyste en threat intelligence à la construction d’un plan d’émulation réside dans la sélection des techniques, leur renseignement dans la matrice MITRE ATT&CK™, ainsi que leur enrichissement. Ce travail est réalisé en amont afin de fournir aux équipes blue et red suffisamment de matière contextualisée et pertinente.
Plusieurs types de plan d’émulation sont possibles : Souhaite-t-on reproduire le mode opératoire d’une campagne d’attaques précise, ou les TTPs propres à un groupe d’activité ? Souhaite-t-on tester certaines techniques de façon unitaire, ou les enchaîner dans un soucis de réalisme ?
Usage de MITRE ATT&CK et construction de scénarios
Dans le cas de la mise en oeuvre d’un scénario plus ou moins long, l’analyste est rapidement confronté à un problème de taille : l’absence de marqueur temporel dans le Navigator de MITRE ATT&CK™. Or, un scénario peut se définir comme le déroulement d’un plan, d’un processus, et est constitué d’un ensemble d’actions se succédant avec une notion de temporalité.
Le renseignement tel que proposé par défaut par la matrice ATT&CK™ est aujourd’hui décorrélé du facteur temps, ou de la notion d’« enchaînement » entre les différentes techniques.
Le soucis de réalisme et la question de la capitalisation
Le facteur temporel est essentiel dans une démarche d’évaluation des défenses. Certaines techniques (n) ne font sens que dans un contexte mentionnant la technique employée avant (n–1) et/ou celle employée après (n+1).
Sans marqueur temporel, une technique employée plusieurs fois, à différentes étapes du cycle d’exécution d’une attaque informatique, à des fins différentes, ne sera mentionnée qu’une fois sur la grille ATT&CK™.
Aussi, parce que l’implémentation d’une même technique peut différer selon son moment d’exécution ou sa finalité, une implémentation peut être priorisée par rapport à une autre, dans le contexte de la construction d’un scénario.
L’impact sur la détection
Être capable de renseigner l’enchaînement des différentes techniques est un avantage permettant notamment à la blue team de concevoir des règles de détection contextualisée et qualitatives, moins enclines à déclencher de faux positifs.
Grâce à l’usage de SIGMA* assorti d’un outil tel que SYSMON, il est par exemple possible de décrire un ensemble d’actions (paramètre near) opérées un certain nombre de fois, sur un délai donné (paramètre timeframe).
Quelles pistes ?
Les catégories du cycle de vie d’une attaque informatique peuvent constituer des repères fiables. Mais ceux-ci manquent de granularité.
Les sub-techniques, sujets que j’aborderai dans un autre post, peuvent également aider à l’enchaînement et la modélisation de relations entre techniques.
Le workshop ATT&CK Community des 9 et 10 mai derniers, à Bruxelles*, a été l’occasion pour nous d’aborder le sujet, et de confronter cette difficulté à l’ensemble de la communauté. Les retours d’utilisateurs aspirant à une telle fonctionnalité furent nombreux.
Il n’existe pas aujourd’hui d’outil idéal permettant de représenter dans le temps les techniques capitalisées. Mais certains ont été cités comme pouvant apporter des débuts de solution :
- Unfetter ( https://nsacyber.github.io/unfetter/)
- ATT&CK™ View ( https://github.com/nshalabi/ATTACK-Tools)
- MISP a, suite au Workshop de mai, intégré des requêtes par time-range
*SIGMA : https://www.sans.org/webcasts/mitre-att-ck-sigma-alerting-110010
