Framework ATT&CK du MITRE - Cas d'usage

Le Framework Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK) du MITRE est un framework ou modèle permettant de décrire les actions qu’un attaquant peut réaliser sur un système post compromission. ATT&CK est essentiellement orienté Windows mais il fournit suffisamment de détails techniques pour le décliner sur d’autres plateformes ou environnements. Le framework n’est pas encore un standard mais le MITRE y travaille et le maintient à jour.

Les techniques listées peuvent servir de base pour construire des cas d’usage à implémenter dans des outils de détection comme les SIEM ou lors d’audits inforensiques.

Les 10 catégories de tactiques proposées par ATT&CK sont dérivées des 3 dernières phases de la Cyber Kill Chain de Lockheed Martin (control, execute, maintain).

alt

Pour chacune de ces 10 catégories, le MITRE a documenté 121 techniques structurées de la manière suivante :

  • Une description de la technique utilisée par l’attaquant
  • Des exemples de malwares utilisant cette technique
  • Des moyens de mitigation
  • Des méthodes de détection
  • Une liste de références

Voici un extrait des premières lignes de la matrice ATT&CK

alt