MITRE ATT&CK™ : convertir ses efforts d’analyse en renseignement actionnable (2/2) [FR]
Après une première partie intitulée “MITRE ATT&CK™ : et si on s’attaquait au haut de la ‘pyramid of pain’ ? (1/2)” : https://medium.com/@TheNotebook/mitre-att-ck-et-si-on-sattaquait-au-haut-de-la-pyramid-of-pain-1-2-9d05f707c9f0
Poursuivons dans notre revue des actions possibles avec notre attack model MITRE ATT&CK™. Capitaliser, comprendre, étudier, c’est bien. Mais dans une logique de ‘threat intel’, il est indispensable de se poser les questions suivantes : que vais-je faire des données que j’analyse et que je capitalise ? Comment puis-je convertir cela en données actionnables pour améliorer mes défenses, prévenir et contenir la menace ? Comment puis-je communiquer ces informations aux personnes concernées ?
MITRE ATT&CK™ peut être utilisé comme support afin de traduire la donnée capitalisée en donnée actionnable, en raison de la flexibilité de son modèle. Il est possible, par exemple, de l’utiliser pour :
Visualiser et évaluer sa couverture défensive…
…au regard de l’ensemble des TTPs (tactiques, techniques et procédures) de la matrice, ou de seulement quelques techniques nous ciblant ou susceptibles de nous cibler. Les techniques choisies peuvent l’être en raison de divers critères. Une “heat map” sera ici l’outil idéal.
Qu’est-ce que je sais détecter ? Qu’est-ce que je souhaite améliorer ? Ces deux questions permettent de prioriser ce que l’on veut détecter. Comprendre la menace et en tirer du renseignement permettant une évaluation effective des défenses en place. Voilà une démarche de ‘threat intelligence’ par excellence.
Améliorer ses capacités de détection…
…en traduisant certaines TTPs en règles de détection.
Parce que MITRE ATT&CK™ liste de façon précise les différentes TTPs, il peut constituer un point de départ pour améliorer une stratégie de détection.
Il existera toujours des moyens d’outrepasser les défenses traditionnelles. L’URL de delivery pourra être modifiée régulièrement, voire automatiquement (DGA) ; le malware pourra être recompilé afin de modifier son hash ; le fichier .doc ou .rtf malveillant transmis par mail pourra changer d’un seul caractère en taille 0 à chaque tentative ; l’attaquant pourra abuser d’outils et de processus légitimes. Les marqueurs fondés sur ces éléments sont donc fragiles. Mais une fois entré, l’attaquant effectuera régulièrement des actions similaires et récurrentes, qui peuvent être anticipées et détectées.
Se baser sur du comportemental pour détecter, c’est adopter un point de vue différent : peu importe l’outil utilisé par l’attaquant (et donc, peu importe sa signature) ; ce qui m’intéresse ici, ce sont les actions qui seront réalisées, leur enchaînement, les traces laissées, les fichiers manipulés, créés, modifiés, et les anomalies détectées.
MITRE fournit CAR, une base intéressantes d’analytics et de pseudo code pouvant aider à la constitution de règles de détection (host-based et network-based) fondées sur les différentes techniques d’ATT&CK™. Il est possible d’y naviguer via CARET, un outil développé par MITRE dans le cadre d’un contrat avec le gouvernement américain.
Enfin, et il faut en être conscient : détecter à partir du modèle MITRE ATT&CK™, c’est partir du postulat que le déclenchement d’une alerte implique avec un niveau de confiance élevé que le système d’information monitoré a été compromis ou est victime d’une intrusion.
Communiquer…
…auprès de la hiérarchie ou de collègues avec un outil visuel et didactique.
Quoi de mieux qu’un poster indiquant en vert ce qu’on détecte, et en rouge ce que l’on ne détecte pas ? C’est direct et visuel. Ne sous-estimons pas le pouvoir de la mise en forme. La forme compte presqu’autant que le fond, non ?
Émuler le comportement d’un attaquant et éprouver les défenses…
…en constituant des scénarios de Red Team, technique par technique. Parce que rien ne vaut une mise en situation dans des conditions réelles (‘sur la prod ?’), il est possible, en se concentrant sur quelques acteurs, ou quelques modélisations, de construire des simulations très pertinentes, reproduisant fidèlement les TTPs d’un cluster d’activité, ou panachées selon l’appréciation de l’analyste.
Laisser libre cours à son imagination
Le Navigator laisse finalement la totale liberté de manipuler les cellules à notre guise. Les TTPs cartographiées peuvent être décorrélées d’une attaque ou d’un mode opératoire spécifique. Il est possible de cartographier des techniques pour plusieurs raisons : leur récurrence dans plusieurs attaques avancées et persistantes connues, leur redondance dans plusieurs attaques ayant ciblé un secteur d’activité, le fait qu’elles ne soient pas encore couvertes par les défenses en place, etc.
Loin de la hype de l’attribution
MITRE ATT&CK est à mon sens un outil d’analyse, de compréhension, et de défense, mais pas un outil d’attribution, loin de là. Si les techniques et tactiques peuvent parfois caractériser l’action d’un attaquant, d’une campagne ou d’un groupe de menaces… ces techniques et tactiques peuvent être courantes, partagées et transverses aux différents modes opératoires adverses pouvant être étudiés ; et donc potentiellement insuffisantes pour discriminer deux groupes de menaces. De plus, force est de constater que l’utilisation d’outils légitimes et “grand public” est de plus en plus courante même chez les “APT stars” souhaitant se fondre dans la masse.
Toutefois, une défense améliorée grâce à MITRE ATT&CK peut être dissuasive et, dans un monde idéal, forcer l’attaquant ou le groupe de menaces à faire évoluer ses TTPs.
If you are able to respond to adversary TTPs quickly enough, you force them to do the most time-consuming thing possible: learn new behaviors. from : http://detect-respond.blogspot.com/2013/03/the-pyramid-of-pain.html
Focus sur CALDERA, un outil complémentaire à MTRE ATT&CK
Caldera permettra de mettre en musique les TTPs cartographiées, capitalisées dans le Navigator MITRE ATT&CK™. Et ce, de façon intelligente, en simulant les différentes décisions qui pourraient être prises par un véritable attaquant (quelle vulnérabilité vais-je exploiter ? telle action sera-t-elle plus rentable que telle autre ? qui cibler ? comment vais-je évoluer dans le SI ?). L’automatisation des choix proposée par Caldera se rapproche de décisions humaines par l’identification de “préconditions” (éléments requis avant de réaliser une action) et de “postconditions” (conséquences de l’action, gain).
Voir Caldera en action : https://www.youtube.com/watch?v=xjDrWStR68E
Une fois lancé, Caldera affiche une succession d’évènements retraçant l’ensemble des actions réalisées et les traces qu’elles laissent sur le SI. Autant de données fournissant des pistes afin de collecter des artefacts pertinents. Ce système d’affichage dynamique et au fil de l’eau est particulièrement efficace et évoque un peu, dans son fonctionnement, la sandbox en ligne Any.run.
Plein d’autres outils peuvent être couplés à l’usage d’ATT&CK. Les indispensables Sysmon, Autoruns ; ainsi que Cascade, Brawl, BloodHound ou encore Atomic Red Team.
MITRE propose également une matrice baptisée PRE-ATT&CK. Ce modèle plus récent fera l’objet d’un prochain article.
