Brève : Le modèle ATT&CK de MITRE
Date : 08 Mars 2019
Pour modéliser le comportement des attaquants, les analystes utilisent désormais de plus en plus le modèle ATT&CK qui a été développé par l’organisme de recherche américain MITRE. Démarré en 2013, et rendu public en 2015, ces travaux sont devenus très populaires en 2018 avec en particulier la première conférence dédiée à ce sujet : ATT&CKcon en octobre 2018.
ATT&CK (Adversary Tactics, Techniques and Common Knowledge) est un projet qui se base sur les cyberattaques déjà connues afin de répertorier :
- Les tactiques et techniques d’attaque. Les tactiques correspondent (schématiquement) aux étapes de la kill-chain (exemples de tactiques : Initial Access, Execution, Persistence, etc…) et les techniques aux différents moyens permettant de réaliser une tactique. Ces 2 éléments sont présentés dans un grand tableau (appelé « ATT&CK matrix ») ou chaque colonne correspond à une tactique et chaque ligne de la colonne une technique.
- Les groupes d’attaquants, par exemple : APT28, PittyTiger ou Stealth Falcon.
- Les logiciels utilisés par les attaquants, par exemple : Mimikatz, Colbalt Strike, etc…
L’ ATT&CK matrix est le composant central du projet. Il a deux utilisations typiques :
- En coloriant dans la matrice toute les cases correspondant aux techniques déjà utilisées par un attaquant particulier, on obtient une mosaïque colorée qui représente le profil de cet attaquant. Quand une nouvelle attaque survient, il devient alors théoriquement possible de reconnaitre qui est l’attaquant en traçant le profil ATT&CK de cette nouvelle attaque et en recherchant quel attaquant a ce profil. Si l’on part du principe qu’il est difficile pour un attaquant de changer toutes ses techniques d’attaques (c’est le principe de la Pyramid of pain ), alors cette approche devient une méthode d’attribution intéressante.
- En regardant quelles sont les techniques les plus utilisées, tout attaquant confondu, on identifie les cellules clés de la matrice et l’on peut décider de renforcer ses défenses en priorité sur ces techniques. Par exemple « Power Shell » ou « WMI » font parties des techniques très utilisées par les attaquants qu’il est donc intéressant de savoir détecter.
ATT&CK n’est probablement pas la solution ultime pour lutter contre les cyberattaques (voir quelques limitations ci-dessous), mais il constitue une avancée vraiment intéressante qui aide le domaine de la CTI (Cyber Threat Intelligence) pour :
- structurer les données existantes,
- construire un corpus de données basées sur les attaques réelles observées,
- travailler au niveau des TTP (techniques, tactics and procedures) plutôt qu’au niveau des observables (les IOC).
En termes de limitations, on peut citer les difficultés suivantes :
- Identifier les techniques ATT&CK utilisées par une attaque est un travail important demandant une analyse poussée de l’attaque.
- Il y a forcément des biais dans les données produites. Par exemple, les techniques les plus faciles à identifier (ou à la mode) vont être citées plus souvent que les autres.
- De nouvelles techniques d’attaques vont apparaitre, ce qui va obliger à faire évoluer le référentiel, et éventuellement à gérer des versions de référentiels.
- Les attaquants évoluent dans le temps. Idéalement il faudrait introduire une notion temporelle pour indiquer à quelles dates un attaquant avait l’habitude d’utiliser telle ou telle technique.
Il ne faut pas s’effrayer de ces difficultés, car même si on ne sait pas les résoudre facilement, l’arrivée du modèle ATT&CK est de façon certaine une avancée significative pour l’analyse des cyberattaques. C’est aujourd’hui un référentiel incontournable du domaine de la CTI et il faut le connaitre.
Pour plus d’information :
- ATT&CK : https://attack.mitre.org/
- Plaquette de présentation de l’ATT&CK matrix https://attack.mitre.org/docs/MITRE_ATTACK_Enterprise_11x17.pdf