Passer au contenu principal

Collaboration H-ISAC et le modèle MITRE ATT&CK


Utilisation de l'analytique pour la cyberdéfense proactive dans le secteur de la santé et d'autres secteurs

 

Alors que les différents ISAC continuent de renforcer leurs défenses contre le nombre croissant de cybermenaces, MITRE a révolutionné le suivi des renseignements sur les cybermenaces. Le modèle MITRE ATT&CK est devenu la base de connaissances mondialement reconnue pour les tactiques adverses utilisées par les cybercriminels high-tech d'aujourd'hui.

Bien que ce cadre soit un excellent point de départ pour recueillir des renseignements sur les cybermenaces, il n’est en aucun cas complet, car les cybercriminels développent constamment de nouvelles tactiques. L’avenir de ce cadre et sa valeur pour les différents centres de partage et d’analyse des informations (ISAC) dépendent entièrement d’une approche collaborative d’amélioration continue. Comme l’a récemment déclaré William Barnes, directeur principal des solutions de sécurité chez Pfizer, « nous sommes tous dans le même bateau ».

 

Comment fonctionne le modèle ATT&CK ?

Le cadre ATT&CK fournit des informations sur les tactiques, techniques et connaissances communes de l'adversaire, d'où l'acronyme. Cette matrice est le fruit de l'imagination de la MITRE Corporation, une organisation à but non lucratif qui se targue de résoudre des problèmes pour un monde plus sûr. Leurs centres de données financés par le gouvernement fédéral sont accessibles dans le monde entier et effectuent une grande variété d'efforts de recherche axés sur les données, y compris la cybersécurité.

Lancée en 2013, la base de connaissances ATT&CK documente les tactiques et techniques courantes utilisées par les cyber-adversaires modernes. La création de ce modèle était motivée par la nécessité de comprendre le comportement des adversaires plutôt que de se limiter à une compréhension ponctuelle des tactiques individuelles. Les cybercriminels ont une méthode d'action et la clé pour les arrêter est de prédire avec précision leur prochain mouvement.

Les composants du modèle ATT&CK peuvent être décomposés en tactiques et en techniques. Les tactiques représentent les « raisons » pour lesquelles un adversaire choisit d’effectuer une certaine action. Les techniques représentent la « manière » dont un adversaire tente d’atteindre son objectif tactique. La combinaison des deux permet de mettre en lumière les comportements possibles, ou les prochaines étapes, qu’un cybercriminel peut adopter.

La matrice ATT&CK est la représentation visuelle de ces tactiques et techniques. Parmi les exemples de tactiques, on peut citer la persistance, le mouvement latéral et la découverte. Pour ces tactiques et bien d'autres, la matrice identifie les techniques potentielles qui pourraient être utilisées pour chacune d'elles. Par exemple, le mouvement latéral comporte 17 techniques différentes qui ont été identifiées, telles que les scripts de connexion et la copie de fichiers à distance.

 

Comment les organisations bénéficient du modèle ATT&CK

Armées des informations du modèle ATT&CK, les organisations peuvent commencer à construire proactivement leurs cyberdéfenses. Lorsqu'elles détectent certaines tactiques utilisées contre leurs défenses périmétriques, elles peuvent utiliser la matrice pour préparer les défenses aux techniques potentielles, ou prochaines étapes, de l'adversaire.

Le principal avantage du modèle ATT&CK est sa nature proactive. À l’ère du numérique, toutes les organisations utilisent des logiciels et des solutions de cybersécurité. Ces solutions offrent différents niveaux de défense et, au minimum, assurent un niveau de protection de base. Cependant, l’éventualité d’une brèche réussie est imminente.

Pour qu’une organisation puisse protéger efficacement ses actifs numériques, elle doit rester vigilante et garder une longueur d’avance sur ses adversaires. Selon William Barnes, le principal défi est la grande diversité des activités malveillantes. Il a également souligné le fait que les secteurs des services financiers et de la santé sont les plus importants et constituent donc un environnement riche en cibles pour les adversaires potentiels. « Les services financiers sont le plus grand ISAC… mais le secteur de la santé représente une communauté de masse bien plus vaste en termes de parties prenantes. »

 

La collaboration est la clé

Lors du récent sommet de printemps de l’H-ISAC, un thème central a été évoqué : travailler ensemble pour lutter contre la menace des cyber-adversaires est la meilleure voie à suivre, non seulement pour le secteur de la santé, mais pour tous les secteurs.

C'est là que le modèle MITRE ATT&CK et le H-ISAC (Health Information Sharing and Analysis Center) peuvent faire les plus grands progrès. Le modèle lui-même fournit un cadre pour identifier les tactiques et les techniques associées. Cependant, sa qualité dépend des informations dont il dispose actuellement. En permettant aux organisations membres du H-ISAC de partager leurs expériences, la base de connaissances MITRE peut être continuellement mise à jour avec les dernières menaces.

Les organisations disposent désormais d’une plateforme cohérente qui, selon Barnes, peut être obtenue par le biais du crowdsourcing. Cela signifie que toutes les entités peuvent bénéficier de l’expérience de chaque entité. Par conséquent, elles peuvent continuer à mettre en place des mesures de sécurité proactives qui leur permettent de garder une longueur d’avance sur l’adversaire.

 

Quels sont les impacts de la divulgation

Bien entendu, ce partage ouvert d’informations suscite également certaines inquiétudes. Certaines organisations hésitent à révéler qu’elles ont été victimes d’une violation de données, car cela porte atteinte à leur crédibilité sur le marché. Certaines craignent que d’autres entités soient tentées d’utiliser ces informations contre leurs concurrents.

Selon Barnes, H-ISAC a pris ce problème à bras le corps en recourant à des accords de confidentialité pour les entités membres. Ces accords de confidentialité permettent d'atténuer les craintes de fuite d'informations inappropriées dans le public.

Barnes a également souligné que le partage d’informations ne concerne pas nécessairement un incident de violation réel. En faisant collaborer H-ISAC avec MITRE, les informations partagées concernent davantage l’identification d’activités suspectes ou malveillantes. L’objectif n’est pas de pointer du doigt ceux qui ont été piratés, mais d’identifier de nouvelles tactiques et techniques et de les partager avec les membres de la communauté pour le bénéfice de tous.

 

Avantages et inconvénients de l'implication des fournisseurs

Alors que la communauté collaborative continue de se développer, les fournisseurs de cybersécurité commencent à prendre place à la table des négociations. L’avantage de faire appel à ces acteurs est qu’ils sont immergés dans les tactiques et les techniques des adversaires et peuvent apporter une vision de première ligne aux entités membres du H-ISAC.

Selon Barnes, chaque fournisseur est susceptible de gérer l'ensemble des tactiques et techniques ; cependant, chacun a également tendance à se spécialiser dans certains domaines. En faisant appel à un large éventail de fournisseurs, les membres du H-ISAC et le modèle MITRE ATT&CK peuvent bénéficier de leurs différentes perspectives.

 

L'avenir est prometteur

Malgré tous les défis qui existent à l’ère numérique moderne, Barnes reste optimiste. L’un des principaux enseignements qu’il a tirés du sommet de printemps de H-ISAC est la conviction renouvelée que ce groupe de travail H-ISAC Cybersecurity Analytics peut accomplir des choses remarquables.

La croissance et le développement continus du modèle MITRE ATT&CK constituent une opportunité passionnante. La possibilité d’avoir un impact positif sur les organisations de l’ensemble du spectre des soins de santé n’a jamais été aussi grande. En outre, Barnes a également noté que la communauté H-ISAC a fait de la diversité et de l’inclusion une priorité.

Pour plus d'informations sur Cybersecurity Analytics et d'autres groupes de travail, rendez-vous sur https://h-isac.org/committees-working-groups/.

  • Ressources et actualités connexes
Combattre les cybermenaces avec une communauté mondiale
Livre blanc sur les contrôles de sécurité du Big Data