_
L'importance de l'intégration de la MITRE ATT&CK dans une solution NDR pour répondre efficacement aux cyberattaques

5 juin 2023
Cybersécurité - Sécurité réseau

Les cyberattaques constituent une menace croissante dans notre monde de plus en plus connecté. Les attaquants regorgent de techniques toujours plus sophistiquées pour atteindre leur objectif final. Pour mieux comprendre et contrer ces attaques, les professionnels de la cybersécurité se tournent vers des référentiels clés comme la MITRE ATT&CK qui leur permettent de mieux comprendre les tactiques, techniques et procédures (TTP) utilisées par les cybercriminels. L’intégrer dans une solution NDR est un avantage non négligeable pour renforcer sa capacité de défense contre les cybermenaces. 

Faisons le point ensemble. 

Le NDR assure une surveillance complète du réseau informatique

On considère souvent le réseau des entreprises comme le centre névralgique de l’infrastructure informatique en raison de son rôle essentiel dans la connectivité et la communication des systèmes et des appareils au sein d’une organisation.

Le NDR apporte une couche de sécurité essentielle à ce cœur central, en assurant la détection et la réponse aux intrusions en cours dans le réseau des entreprises.

Contrairement aux solutions de sécurité traditionnelles qui fondent leur défense sur des techniques avec signatures, le NDR va beaucoup plus loin.  En plus d’être basé sur des systèmes de détection d’intrusion (IDS) utilisés historiquement, il intègre de l’intelligence artificielle, de l’analyse comportementale et de la threat intelligence pour détecter bien au-delà des règles des comportements anormaux.

Intégrer la MITRE ATT&CK pour maximiser la réponse aux attaques

La MITRE ATT&CK est une base de connaissances, accessible à tous, qui répertorie les tactiques, les techniques et les procédures (TTP) utilisées par les attaquants. Elle est basée sur des observations réelles d’attaques.

Toutes les informations qui y figurent constituent une ressource précieuse pour les entreprises et soulignent l’importance de l’intégration de la MITRE ATT&CK dans une solution de cybersécurité.

NDR et MITRE ATT&CK : une coopération puissante

L’intégrer dans une solution NDR présente de nombreux avantages pour améliorer l’investigation et la réponse aux attaques dans le réseau informatique :

  • Identification rapide : les analystes sécurité sont en mesure d’identifier rapidement des comportements malveillants et des schémas d’attaque.
  • Investigation et compréhension : les équipes de sécurité peuvent investiguer grâce aux informations fournies, avoir une meilleure compréhension des méthodes d’attaque potentielles et réagir en conséquence, notamment grâce à la partie “Mitigations” fournie par la MITRE.
  • Conformité : opter pour une solution qui intègre la MITRE ATT&CK, c’est s’aligner sur les normes, les bonnes pratiques et les recommandations en matière de sécurité.
  • Mise à jour : les organisations bénéficient des dernières menaces et des nouvelles méthodes d’attaques grâce à la mise à jour régulière de la MITRE ATT&CK. Elles ont ainsi l’assurance de rester à jour face aux évolutions constantes du paysages des cybermenaces.

Comment le NDR exploite la richesse de la MITRE ATT&CK  ?

Pour mieux cerner son réel intérêt, énumérons la manière dont le NDR peut utiliser la MITRE ATT&CK :

Détection des procédures et projection dans la matrice – Le NDR va détecter différentes procédures d’attaque, telles qu’un Scan via nMAP, un outil de déni de service tel qu’HULK, un canal de Command and Control comme celui utilisé par Emotet … Ces procédures vont être recontextualisées en fonction des IPs concernées et de la temporalité puis associées dans la MITRE ATT&CK à une technique et une tactique pour identifier des schémas d’attaque.

La MITRE ATT&CK répertorie différentes tactiques utilisées par les attaquants qui correspondent aux différentes étapes d’une attaque, telles que la reconnaissance, la compromission initiale, la montée en privilège, l’installation de logiciels malveillants, etc.

Elle répertorie actuellement 14 tactiques. Sur ces 14, le NDR est le seul outil vraiment compétent pour détecter les tactiques suivantes :

  • Découverte
  • Mouvement latéral
  • Collecte
  • Commande et Contrôle

La MITRE ATT&CK détaille également les techniques spécifiques utilisées par les cybercriminels pour exécuter leurs tactiques.

Custocy offre une projection dans la MITRE ATT&CK

Projection Mitre Att&ck

Nous avons fait le choix d’intégrer la MITRE ATT&CK dans la deuxième version de notre solution NDR. Les entreprises qui adoptent notre solution bénéficient à présent d’une intégration native dans l’interface Custocy.

Les menaces détectées par l’outil sont mises en surbrillance dans la matrice MITRE ATT&CK pour faire correspondre les tactiques et les techniques associées ainsi que les actions à mener pour les déjouer. Un code couleur est utilisé (du vert au rouge) pour que les analystes comprennent en un coup d’œil la criticité de la menace.

A cela, s’ajoute une vue investigation reprenant les catégories « mitigations, data sources et groups » de la MITRE ATT&CK pour comprendre dans le détail ce qu’il s’est produit. Cela permet aux équipes de sécurité de suivre chaque étape d’une intrusion et de répondre aux incidents rapidement et efficacement.

En conclusion

En combinant les fonctionnalités avancées d’une solution NDR avec les connaissances et les informations fournies par la MITRE ATT&CK, les équipes de sécurité sont mieux armées pour détecter, analyser et répondre aux attaques de manière proactive, renforçant ainsi la résilience et la sécurité de leur réseau informatique.

Aussi, l’intégration de la MITRE ATT&CK est une fonctionnalité clé à ne surtout pas négliger lors de la sélection d’une solution de cybersécurité.

Curieux de découvrir notre NDR ? Réservez votre créneau de démo, c’est 100% gratuit !👉ICI.