Les normes et les cadres fournissent des structures permettant de rationaliser la distribution et l’utilisation des informations sur les menaces dans tous les secteurs. Ils permettent également une terminologie commune, ce qui facilite la collaboration et la communication. Ici, nous examinons brièvement quelques normes et cadres essentiels couramment utilisés.
¶ MITRE ATT&CK
Le cadre ATT&CK est une base de connaissances sur le comportement des adversaires, axée sur les indicateurs et les tactiques. Les analystes de sécurité peuvent utiliser ces informations de manière approfondie lorsqu’ils enquêtent et suivent les comportements adverses.
¶ TAXI
Le Trusted Automated eXchange of Indicator Information (TAXII) définit des protocoles pour échanger en toute sécurité des informations sur les menaces afin de permettre une détection, une prévention et une atténuation des menaces en temps quasi réel. Le protocole prend en charge deux modèles de partage :
- Collecte : les informations sur les menaces sont collectées et hébergées par un producteur à la demande des utilisateurs à l'aide d'un modèle demande-réponse.
- Canal : les informations sur les menaces sont transmises aux utilisateurs à partir d'un serveur central via un modèle de publication-abonnement.
¶ STIX
Structured Threat Information Expression (STIX) est un langage développé pour « la spécification, la capture, la caractérisation et la communication d'informations standardisées sur les cybermenaces ». Il fournit des relations définies entre des ensembles d'informations sur les menaces telles que les observables, les indicateurs, les TTP de l'adversaire, les campagnes d'attaque, etc.
¶ Cyber Kill Chain
Développée par Lockheed Martin, la Cyber Kill Chain décompose les actions de l'adversaire en étapes. Cette répartition aide les analystes et les défenseurs à identifier les activités spécifiques à une étape qui se sont produites lors de l'enquête sur une attaque. Les phases définies sont présentées dans l'image ci-dessous.
| Technique | But | Exemples |
|---|---|---|
| Reconnaissance | Obtenez des informations sur la victime et les tactiques utilisées pour l'attaque. | Récolte d'e-mails, OSINT et réseaux sociaux, analyses de réseau |
| Armement | Les logiciels malveillants sont conçus en fonction des besoins et des intentions de l'attaque. | Exploiter avec une porte dérobée un document bureautique malveillant |
| Livraison | Explique comment le logiciel malveillant sera transmis au système de la victime. | E-mail, liens Web, USB |
| Exploitation | Violez les vulnérabilités du système de la victime pour exécuter du code et créer des tâches planifiées pour établir la persistance. | |
| EternalBlue, Zero-Logon, etc. | ||
| Installation | Installez des logiciels malveillants et d'autres outils pour accéder au système de la victime. | Dumping de mots de passe, portes dérobées, chevaux de Troie d'accès à distance |
| Commandement et contrôle | Contrôlez à distance le système compromis, distribuez des logiciels malveillants supplémentaires, déplacez des actifs précieux et élevez les privilèges. | Empire, Frappe du Cobalt, etc. |
| Actions sur les objectifs | Atteignez les objectifs visés par l’attaque : gain financier, espionnage industriel et exfiltration de données. | Cryptage des données, ransomware, dégradation publique |
Au fil du temps, la kill chain a été élargie à l'aide d'autres frameworks tels que ATT&CK et a formulé une nouvelle Unified Kill Chain.
¶ Le modèle diamant
Le modèle diamant examine l’analyse des intrusions et le suivi des groupes d’attaques au fil du temps. Il se concentre sur quatre zones clés, chacune représentant un point différent sur le diamant. Ceux-ci sont:
- Adversaire : l'accent est ici mis sur l'acteur menaçant à l'origine d'une attaque et permet aux analystes d'identifier le motif de l'attaque.
- Victime : l'autre côté de l'adversaire regarde un individu, un groupe ou une organisation touché par une attaque.
- Infrastructure : les outils, systèmes et logiciels des adversaires pour mener leur attaque sont au centre de l'attention. De plus, les systèmes de la victime seraient essentiels pour fournir des informations sur la compromission.
- Capacités : L'accent est ici mis sur l'approche adoptée par l'adversaire pour atteindre son objectif. Cela examine les moyens d'exploitation et les TTP mis en œuvre tout au long de la chronologie de l'attaque.
Un exemple du modèle diamant en jeu impliquerait un adversaire ciblant une victime en utilisant des attaques de phishing pour obtenir des informations sensibles et compromettre son système, comme indiqué sur le diagramme. En tant qu'analyste de renseignements sur les menaces, le modèle vous permet d'évoluer en fonction de ses propriétés pour produire une image complète d'une attaque et corréler les indicateurs.