Publié par L’objectif, ici, est d’identifier les étapes clés d’une attaque et de pouvoir retracer son cheminement. Les modes opératoires des attaquants sont regroupés en TTP (tactiques, techniques et procédures). On peut d’ailleurs retrouver la liste de groupes d’attaquants connus sur le site du MITRE.
Toutes ces informations sont utiles pour détecter des comportements suspects ainsi que pour simuler une attaque.
La matrice ATT&CK
Il s’agit d’une base de connaissances répertoriant les tactiques et techniques utilisées par les attaquants. On utilise cette matrice pour de multiples raisons:
- une taxonomie commune des tactiques et objectifs des adversaire, pour mieux communiquer.
- Effectuer une analyse des moyens de détection
- Améliorer les détections des menaces
- Tester les alertes.
La matrice se trouve sur le site de Mitre.
On y retrouve 12 tactiques comprenant plusieurs techniques.
Les tactiques indiquent ce que l’attaquant essaie de faire, les techniques décrivent les différentes méthodes développées par les attaquants pour mener une tactique. Les techniques ayant le même objectif sont regroupées sous la même tactique.
Le SOC a ainsi la possibilité de comprendre les attaquants ainsi que de faire de la remédiation si besoin. La matrice fournit les détails techniques pour nous aider à améliorer la détection.
Voir ce document comprenant des cas d’utilisation de la matrice.