Méthode de sélection des actions élémentaires - Déclinaison de la matrice ATT&CK du MITRE - Club EBIOS
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Méthode de sélection des actions élémentaires Déclinaison de la matrice ATT&CK du MITRE Club EBIOS
Sommaire 1 Contexte 2 Présentation de l’outil 3 Utilisation de l’outil 4 Prochaines étapes Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 2
Rappel : pourquoi ? Ecosystème Cible Scénario stratégique EBIOS RM et les scénarios opérationnels La méthode se retrouve limitée lors de cette étape : • Pas de base de connaissance fournie • Méthodologie allégée Expérience • Modèle trop haut niveau Réflexion Connaissance Ecosystème Cible ? ? ? OV ? ? ? ? ? Scénario opérationnel Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 3
Rappel : pourquoi ? Ecosystème Cible Scénario stratégique EBIOS RM et les scénarios opérationnels La méthode se retrouve limitée lors de cette étape : • Pas de base de connaissance fournie • Méthodologie allégée Expérience • Modèle trop haut niveau Réflexion Connaissance Sélecteur de techniques du MITRE Outillage Ecosystème Cible Référentiel Outil = base de travail pour l’élaboration des scénarios opérationnels. ? ? ? Outil ≈ une aide ➔ traduit d’un anglais technique OV ➔ épuré ? ? ? ? ➔ fournit les briques élémentaire ? Scénario opérationnel Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 4
Rappel : quoi ? Lien vers l’outil : https://club-ebios.org/forum/viewtopic.php?f=69&t=1183 L’outil dont il est question est le sélecteur de techniques du MITRE réalisé pour le Club au sein du Collège des Praticiens. • Gratuit • Libre • Modifiable, adaptable (CC) • Traduit depuis un anglais technique L’intérêt de l’outil est - qu’il fonctionne sous Excel via un développement de macro ➔ pas d’installation / de licence. - qu’il est basé sur le référentiel ATT&CK du MITRE épuré Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 5
Contexte : cas d’étude fictif Organisme concerné : Association d’experts de la SSI Périmètre étudié : Site web public + forum des membres Ecosystème Association Hébergeur Un cyber-attaquant teste ses Événements redoutés : capacités. - Fuite de données personnelles Cyber-attaquant Membres - Corruption des échanges avec les membres - Altération des données - Blocage des processus Admin MCO/MCS Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 6
Paramétrage de l’outil 1 Quelles sont les cibles que pourrait viser un attaquant ? Humain Annuaire Système Client lourd Ecosystème Association Réseau BDD SaaS Web IaaS API 2 Quelles sont les technologies exploitées par le projet ou l'écosystème ? Hébergeur Windows Azure Linux Azure AD Événements redoutés : Mac Office 365 AWS SaaS GCP - Fuite de données personnelles Cyber-attaquant Membres - Corruption des échanges avec les membres - Altération des données 3 Quelles sont les ressources associées à la nature et la motivation de l'attaquant ? - Blocage des processus Importantes Admin MCO/MCS Moyennes Faibles Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 7
Paramétrage de l’outil : quoi ? 1 Quelles sont les cibles que pourrait viser un attaquant ? Cibles retenues : Humain Système Annuaire Client lourd • Humain • BDD BDD • Système • Web Réseau SaaS Web IaaS API • Réseau 2 Quelles sont les technologies exploitées par le projet ou l'écosystème ? Cibles retenues = cibles visées par un attaquant Windows Azure - soit pour réaliser un OV Linux Mac Azure AD Office 365 - soit pour réaliser une AE AWS SaaS GCP SI des Biens Forum des Listes de Boîtes mail Utilisateurs Site web public fournisseurs de membres diffusion fonctionnelles (membres et supports (Wordpress) services web 3 Quelles sont les ressources associées à la nature et la motivation de l'attaquant ? (phpBB) (cPanel) (cPanel) (O2SWITCH) sous-traitants) Importantes Moyennes Gérer les Faibles Valeurs Gérer les Informations Gérer les Gérer les Gérer les échanges publications / sensibles de membres services web prestations avec les non métiers productions membres gestion Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 8
Paramétrage de l’outil : comment ? 1 Quelles sont les cibles que pourrait viser un attaquant ? Technologies retenues : Humain Système Annuaire Client lourd • Windows BDD • Linux Réseau SaaS Web IaaS API Technologies retenues (attributs du MITRE) = technos particulières exploitées par l’objet d’étude. 2 Quelles sont les technologies exploitées par le projet ou l'écosystème ? Windows Azure ➔ Permettent de sortir des techniques spécifiques Linux Azure AD Mac Office 365 AWS SaaS GCP SI des Biens Forum des Listes de Boîtes mail Utilisateurs Site web public fournisseurs de membres diffusion fonctionnelles (membres et supports (Wordpress) services web 3 Quelles sont les ressources associées à la nature et la motivation de l'attaquant ? (phpBB) (cPanel) (cPanel) (O2SWITCH) sous-traitants) Importantes Moyennes Faibles Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 9
Paramétrage de l’outil : comment ? 1 Quelles sont les cibles que pourrait viser un attaquant ? Ressources retenues : Humain Système Annuaire Client lourd • Moyennes Réseau BDD SaaS Web IaaS API Ressources retenues = niveau de ressource employées par l’attaquant (≈ maturité et/ou moyens) 2 Quelles sont les technologies exploitées par le projet ou l'écosystème ? ➔ Un paramétrage / source de risques Windows Azure Linux Azure AD Mac Office 365 AWS SaaS GCP Cyber-attaquant externe Teste ses capacités 3 Quelles sont les ressources associées à la nature et la motivation de l'attaquant ? Demande de rançon Importantes Cherche à nuire à l’image Moyennes Faibles Cherche à nuire aux membres Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 10
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur Comment réaliser l’OV ? Altération des données Cyber-attaquant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 11
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur Altération des données Cyber-attaquant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 12
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1486 Altération/destruction des données Altération des données Cyber-attaquant T1565.001 Manipulation des données stockées / des fichiers de données Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 13
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1486 Comment réaliser l’AE ? Altération/destruction des données Exécuter un rançonlogiciel / crypto-verrouilleur Altération des Phase d’éxécution données Cyber-attaquant T1565.001 Manipulation des données stockées / des fichiers de données Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 14
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1059 T1486 Exécution d'un script Altération/destruction malveillant des données Phase d’accès Altération des données Cyber-attaquant Détourner un accès légitime T1565.001 Comment réaliser l’AE ? Manipulation des données stockées / des fichiers de données Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 15
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1059 T1486 Comment réaliser l’AE ? Exécution d'un script malveillant Altération/destruction des données Détourner un accès légitime ou s’affranchir d’un accès + lancer le script Altération des données Cyber-attaquant T1078 Usurpation de compte T1565.001 Manipulation des données stockées / des T1133 fichiers de données Utilisation frauduleuse d'un accès distant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 16
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur Phase d’accès (déjà employé) T1059 T1486 Exécution d'un script Altération/destruction malveillant des données Détourner un accès légitime ou s’affranchir d’un accès + lancer le script Altération des données Cyber-attaquant T1078 Usurpation de compte T1565.001 Manipulation des données stockées / des T1133 fichiers de données Utilisation frauduleuse d'un accès distant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 17
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1570 Exploitation de dispositifs de partage entre un système compromis et un T1059 T1486 système cible Exécution d'un script Altération/destruction malveillant des données Détourner un accès légitime ou T1204 Exploitation de la s’affranchir d’un accès + lancer naïveté de l'utilisateur le script Altération des données Cyber-attaquant T1078 Latéralisation ou exécution Usurpation de compte T1565.001 tierce Manipulation des données stockées / des T1133 fichiers de données Utilisation frauduleuse d'un accès distant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 18
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1570 Exploitation de dispositifs de partage entre un système compromis et un T1059 T1486 système cible Exécution d'un script Altération/destruction malveillant des données T1204 Exploitation de la Connaître / rentrer / trouver naïveté de l'utilisateur Altération des données Cyber-attaquant T1078 Usurpation de compte T1565.001 Comment réaliser les AE ? T1133 Manipulation des données stockées / des fichiers de données Vol / récupération d’authentifiants Utilisation frauduleuse d'un accès distant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 19
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1570 Exploitation de dispositifs de partage entre un système compromis et un T1059 T1486 système cible Exécution d'un script Altération/destruction malveillant des données T1204 Exploitation de la naïveté de l'utilisateur Altération des données Cyber-attaquant T1566 T1078 Phishing Usurpation de compte T1565.001 Manipulation des données stockées / des T1589.001 T1133 fichiers de données Récupération / Utilisation frauduleuse recherche d'un accès distant d'authentifiants de la / les victime(s) Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 20
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur T1570 Compromission préalable de l’hébergeur Exploitation de dispositifs de partage entre un système Comment réaliser les AE ? compromis et un système cible T1059 Exécution d'un script T1486 Altération/destruction malveillant des données Ingénierie sociale, abus de confiance T1204 Exploitation de la naïveté de l'utilisateur Altération des Prep. Ressources / données Cyber-attaquant Reconnaissance T1566 T1078 Phishing Usurpation de compte T1565.001 Manipulation des données stockées / des T1589.001 T1133 fichiers de données Récupération / Utilisation frauduleuse recherche d'un accès distant d'authentifiants de la / les victime(s) Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 21
Utilisation de l’outil SO : Un cyber-attaquant exploite une vulnérabilité d'un des services web via l'hébergeur Réflexion du cyber-attaquant T1584 T1570 Compromettre des Exploitation de biens supports tiers dispositifs de partage T1593 pour outiller les entre un système Collecter des différentes phase compromis et un T1059 T1486 informations sur la cible d'attaques système cible Exécution d'un script Altération/destruction depuis des sources malveillant des données publiques en ligne T1204 Exploitation de la T1591 naïveté de l'utilisateur Collecter des informations sur Altération des l'organisation / données Cyber-attaquant l'entreprise auquelle la cible est rattachée T1566 T1078 Phishing Usurpation de compte T1565.001 Manipulation des données stockées / des T1589.001 T1133 fichiers de données Récupération / Utilisation frauduleuse recherche d'un accès distant d'authentifiants de la / les victime(s) Construction par l’outil Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 22
Prochaines étapes Evolutions nécessaires de l’outil : Mettre à jour le Effectuer une repasse des référentiel en v.9 techniques dépréciées Evolutions souhaitables de l’outil : Formaliser une procédure Pouvoir construire les Penser de nouveaux de mise à jour concrète scénarios depuis l’outil attributs et/ou filtres Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 23
Merci pour votre attention Site : https://club-ebios.org Twitter : @club_ebios LinkedIn : https://fr.linkedin.com/company/club-ebios Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 24
Annexes Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 25
Scénario stratégique Un cyber-attaquant teste ses capacités Ecosystème Association Hébergeur Événements redoutés : Cyber-attaquant Membres Fuite de données personnelles Corruption des échanges avec les membres Altération des données Blocage des processus Admin MCO/MCS Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 26
Origines de ATT&CK Né d’un besoin, côté blue-team, de caractériser plus facilement et plus précisément l’activité red- team. Crée lors d’un exercice du MITRE au sein d’un réseau d’entreprise de plus de 200 hôtes en conditions réelles. Matrice réalisée depuis 2013, rendue publique en 2015. Comportement adverse Modèle de cycle de vie Applicabilité Classification Les indicateurs habituels recueillis Des concepts de cyber-kill-chain Les TTPs (Tactics, Techniques et Les TTPs doivent pouvoir être lors de la compromission de système parfois trop vagues ne permettant Procedures) ont plus à gagner en comparables selon une même (@IP, domaine, hash de fichiers,…) pas de pouvoir caractériser crédibilité si elles sont basées sur des nomenclature, terminologie et une ne traduisent pas concrètement suffisamment précisément un mode retex et exemples concrets plutôt même classification. comment les attaquants opératoire et ne permettant pas de que sur des grandes lignes générales interagissent avec le système. faire correspondre les et /ou théoriques. comportements adverses aux défenses d’un système. Club EBIOS 18/05/2021 27
Problématique : profondeur du référentiel Kill-chain plus élaborée : 12 tactiques Ensemble de techniques exhaustif : 343 techniques* Des champs/relations nombreux par technique** * pour le domaine entreprise non filtré sur les plateformes Windows, MacOS, Linux ** des champs actifs/inactifs selon l’applicabilité à la technique ATT&CK Beta Visualisation différente de la matrice. Phishing Techniques regroupant des sous- ➢ Pièce jointe techniques précises : 183 techniques ➢ Lien pour l’exemple précédent ➢ Service tiers Visualisation non conservée du MITRE des techniques, logiciels/framework associés, groupes d’attaques connus pour l’utilisation de ces logiciels Club EBIOS 18/05/2021 28
Principe : filtrer la matrice pour une utilisation facilitée Techniques générales Filtrage sur ATT&CK Beta ATT&CK Beta → 2 niveau de vision : - sous-technique (optionnel) = procédure précise Filtrage des rejoignant une technique générale - technique = procédure précise ou générale afin de techniques les plus concrétiser une tactique rencontrées Permet une sélection plus rapide (filtre 183 objets plutôt que 343) Répartition des techniques 45 techniques incontournables Nombre de techniques 45 techniques les plus Caractérisation des Dont brutes 17 rencontrées Filtrage des techniques les plus Dont parentes 28 rencontrées et les 183 techniques 95 techniques plus facilement Nombre de sous-techniques 118 réalisables / reproductibles Nombre d'entrées 163 0 50 Club EBIOS 100 150 200 18/05/2021 29
Formalisation du référentiel Présence de sous-techniques ou Importance de la technique non et traduction des sous- Traduction essentielle des dans le paysage des risques techniques descriptions d’entreprise Sous-technique Description Cotation Tactiques Plateformes TA0001 TA0002 TA0003 TA0004 TA0005 TA0006 TA0007 TA0008 TA0009 TA0011 TA0010 TA0040 Technique Sous-technique ID Description Elévation de Evasion de Récupération Commande & Priorité Accés initial Execution Persistance Découverte Latéralisation Collecte Exfiltration Impact Windows Linux Mac privilèges défense d'identifiants contrôle Le phishing est une technique impliquant l'envoie de messages électroniques à un ensemble de personnes dans une optique Phishing T1566 d'ingénierie sociale pour les amener à exécuter des maliciels ou à Incontournable fournir des identifiants. Le spearphishing est un phishing ciblé (par entreprise ou par personne). En utilisant l'adresse d'une cible un attaquant peut envoyer un maliciel Phishing Spearphishing via pièce-jointe T1566.001 directement en pièce-jointe d'un email, souvent maquillé en un document légitime pour être ouvert par la victime. En utilisant l'adresse d'une cible un attaquant peut envoyer un lien Phishing Spearphishing via lien T1566.002 malveillant maquillé permettant le téléchargement d'un malware, la compromission du navigateur ou du client mail ou le vol d'identifiants. En utilisant divers services tiers (réseaux sociaux, messagerie personnelle, ou tous services échappant au contrôle de l'entreprise), Phishing Spearphishing externe T1566.003 un attaquant peut réaliser les diverses méthodes de phishing précédentes pour gagner un accès au SI d'entreprise. Accès distant externe T1133 Fréquent Copie via périphériques T1091 Fréquent amovibles Un adversaire peut obtenir et abuser d'identifiants de comptes existants afin d'obtenir un accès, d'échapper aux contrôles, de Comptes valides T1078 Incontournable maintenir leur emprise ou d'obtenir plus de possibilités sur leurs permissions. Un adversaire connait et abuse des identifiants d'un compte par défaut Comptes valides Comptes par défaut T1078.001 sur une machine, un appareil, une application/un logiciel. Un adversaire connait et abuse des identifiants d'un compte de Comptes valides Comptes de domaine T1078.002 domaine AD. Un adversaire connait et abuse des identifiants d'un compte local i.e. Comptes valides Comptes locaux T1078.003 d'un utilisateur, d'un support distant, d'un service, ou d'un compte d'administration sur un système unique. Un adversaire connait et abuse des identifiants d'un compte cloud ou Comptes valides Comptes Cloud T1078.004 application SaaS d'un utilisateur, d'un support distant, d'un service, ou d'un compte d'administration de ressources. Technique Identification Tactique Plateformes L’ensemble des techniques essentielles Traçabilité MITRE des Appartenance des Application des techniques traduites identifiants techniques aux tactiques aux systèmes Club EBIOS 18/05/2021 30
Résultat proposé Ci-contre la partie dynamique de notre feuille d’output. Elle permet une vision de la technique sélectionnée Ci-contre la partie filtrée de notre référentiel. C’est cette partie qui est générée à la suite du questionnaire. Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 31
Prototype de filtrage proposé : questionnaire Critères de filtrage 1 : Choix des cibles visées par l’attaquant (attributs du Collège) 2 : Choix des technologies exploitées par le défenseur (attributs du MITRE) 3 : Choix des « ressources » maximales mis en œuvre par l’attaquant Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 32
Prototype de filtrage proposé : logique de filtrage RessourcesMax ET (Cible1 ET Techno1 OU Cible1 ET Techno2 OU … Cible_i ET Techno_j … OU Cible_n ET Techno_m) OU RessourcesMax - 1 ET (Cible1 ET Techno1 OU Cible1 ET Techno2 OU … Cible_i ET Techno_j … OU Cible_n ET Techno_m) … OU RessourcesMin ET (Cible1 ET Techno1 OU Cible1 ET Techno2 OU … Cible_i ET Techno_j … OU Cible_n ET Techno_m) Cible Technologie Nombre de critères de sélection : ∗ ∗ Avec le nombre de cibles et le nombre de technologies sélectionnées. Ressources Plus il y a de valeurs sélectionnées dans un même critère, moins le filtrage sera précis et plus les résultats seront nombreux. Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 33
Livrable et dynamique du projet Modification de la méthode de filtrage ClubEbios_Selecteur-de-techniques_MITRE.xlsm Mise à jour de la base du fichier de sélection MITRE_ReferentielSupport_OutillageAtelier4EBIOS_FR.xlsx Modification de la base du référentiel Club EBIOS - Presentation du fichier de filtrage ATT&CK.pptx Club EBIOS Présentation du fichier de filtrage ATT&CK – Valentin Lacaze - contact[at]club-ebios.org 18/05/2021 34
Vous pouvez aussi lire
