MITRE ATT&CK : la rançon du succès par
Adrien Gévaudan (paru dans Misc no 125)
Aujourd’hui, que vous travailliez dans une équipe de Cyber Threat Intelligence (CTI), un Security Operations Center (SOC), un Computer Security Incident Response Team (CSIRT), ou même comme pentester, il y a fort à parier que nous ne pouviez faire l’économie d’utiliser, peut-être même au quotidien, la matrice MITRE ATT&CK. Un tel succès appelle une analyse critique de ses causes, l’examen de ses éventuelles limites, ainsi que la définition de quelques bonnes pratiques d’utilisation.
- ATT&CK : un référentiel au succès spectaculaire
La matrice ATT&CK [1], pour Adversarial Tactics, Techniques, and Common Knowledge, a été conçue et publiée en 2015 par MITRE, une organisation non-lucrative américaine. Elle fait partie d’une vaste galaxie de référentiels de classification peuplant le petit monde de la cybersécurité, parmi les STIX, eCSIRT/ENISA, CVE et autres ETSI. Si l’outil est donc âgé de moins de 10 ans, force est d’admirer la facilité avec laquelle il a acquis une place centrale en ce laps de temps ; à son crédit, un fonctionnement simple combiné à un haut niveau de précision technique.
1.1 La matrice ATT&CK : fonctionnement et principes de base
ATT&CK, comme son nom l’indique, est un ensemble catégorisé de comportements adverses, c’est-à-dire susceptibles d’être employés par des groupes d’attaquants. Il s’agit donc d’un outil qui s’adresse tout particulièrement à la CTI, en ce que celle-ci est amenée à découvrir, analyser et suivre des menaces...
Lire l'article complet
Retrouvez tous les magazines ainsi que l'ensemble des archives des Editions Diamond
sur Connect, la plateforme de documentation des pros de l'IT.
Pour rappel, notre partenariat avec les Editions Diamond éditrices de MISC (le Magazine de la sécurité informatique multiplateforme), Linux Pratique, GNU Linux magazine et Hackable
magazine permet aux membres du Clusis de bénéficier d'un rabais de 5% pour tout
abonnement numérique à ces magazines.