Blog Zscaler

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

S'abonner
Produits et solutions

Défense active avec MITRE Engage

image
AMIR MOIN
janvier 18, 2022 - 5 Min de lecture

Contexte

Dans le monde de la cybersécurité, MITRE est peut-être mieux connu pour ATT& CK, sa base de connaissances libre sur les tactiques et techniques adverses élaborées à partir d’observations du monde réel. Le cadre a été adopté à l’échelle mondiale. Les équipes de sécurité du monde entier évaluent l’efficacité de leurs programmes de détection des menaces en fonction de leur capacité à détecter les techniques documentées dans MITRE ATT&CK.

Cependant, ATT&CK a été en grande partie une base de connaissances réactive : elle détaille les techniques que les adversaires sont susceptibles d’utiliser à un stade donné de l’attaque, et la manière de les détecter. Nous n’utilisons pas ici le mot « réactif » dans un sens négatif. Il n’y a aucun problème à utiliser des stratégies réactives. Au contraire, MITRE ATT&CK a créé un cadre fondamental pour comprendre les techniques d’attaque et créer un plan d’action pour y répondre.

Cependant, l’ajout d’une défense active à vos processus de sécurité, en plus des stratégies réactives, offre aux équipes de sécurité de nouvelles opportunités pour agir plus rapidement, plus efficacement et avec une plus grande confiance dans des scénarios critiques tels qu’une faille.

 

Bienvenue à MITRE Shield

MITRE faisait appel à une défense active basée sur la tromperie pour défendre son réseau depuis plus d’une décennie. En août 2020, l’entreprise a regroupé ses techniques dans une nouvelle base de connaissances axée sur la défense active et a lancé Shield.

À l’instar d’ATT&CK, Shield était également un recueil de techniques. Mais au lieu d’adopter le point de vue du hacker sur la pénétration et la violation des réseaux, Shield a adopté le point de vue du défenseur considérant ce qui peut être activement fait pour réduire les risques dans un environnement en installant des pièges (leurres) et en interceptant les attaques au lieu de réagir lorsque les adversaires se déplacent latéralement.

En raison de son organisation (recueil de techniques), Shield s’adressait en grande partie aux professionnels. Cependant, les commentaires techniques de la communauté ont révélé que les équipes de sécurité avaient besoin d’un outil qui les aiderait à comprendre, à élaborer des stratégies et à planifier des opérations de défense active avant de pouvoir se lancer dans des considérations techniques.

 

Évolution vers MITRE Engage

L’équipe MITRE est revenue à sa planche à dessin et a rationalisé Shield dans un nouveau cadre qui pourrait aider les cyber professionnels, les dirigeants et les fournisseurs à planifier et à mettre en œuvre des activités de mobilisation contre l’adversaire, de tromperie et de déni. Le nouveau cadre s’appelle Engage et a été lancé en version bêta en août 2021.

 

Qu’est ce qui a changé ?

Alors que MITRE Shield était un cadre axé sur la technique et l’exécution, Engage ajoute les couches de planification et d’analyse nécessaires en associant les techniques de tromperie à des activités qui peuvent aider les équipes de cybersécurité à définir la portée de leurs opérations de défense active et à utiliser les renseignements sur les menaces recueillis pour informer les modèles de menace tout en affinant les opérations de tromperie.

Le cadre est divisé en trois parties :

  • Ligne 1 – Objectifs : que souhaitez-vous réaliser ? Souhaitez-vous démasquer les adversaires, les détourner une fois qu’ils sont dans votre réseau, ou susciter certaines actions afin de comprendre leurs motivations et leurs objectifs ?
  • Ligne 2 – Approches : que ferez-vous pour atteindre les objectifs de votre programme de défense active/de mobilisation contre l’adversaire ? Souhaitez-vous détecter des adversaires ou les empêcher d’aller plus loin ?
  • Ligne 3 et suivantes - Activités : il s’agit des différentes options dont vous disposez dans le cadre de chaque approche. Vous pouvez en utiliser un ou plusieurs ou en combiner plusieurs pour atteindre les objectifs stratégiques définis dans la colonne « Préparation ».

Qu’est-ce que cela implique pour les équipes de cybersécurité ?

Vous pouvez en apprendre plus ici sur la différence entre MITRE Engage et Shield, mais voici un aperçu de la façon dont les modifications vous aideront :

  1. Fournir à la communauté de la sécurité un vocabulaire partagé qui peut aider à normaliser la réflexion fondamentale sur la défense active, la tromperie et la mobilisation contre l’adversaire
  2. Fournir un cadre pour l’exécution de programmes de défense active de bout en bout qui englobent la planification, les opérations et l’analyse
  3. Organiser les activités sous forme d’approches pour permettre aux équipes de sécurité de hiérarchiser les techniques de défense active en fonction de leur niveau de maturité et de leur bande passante

 

Mise en œuvre de MITRE Engage

La plupart des équipes de sécurité sont fortement axées sur la prévention. Les équipes plus expertes s’orientent vers la détection des menaces. Bien que MITRE Engage facilite l’adoption de la défense active par les équipes, cela peut être un peu impressionnant au début.

Les équipes de cybersécurité peuvent choisir parmi les différentes activités en fonction de leurs besoins, puis évoluer à partir de là.

Un bon point de départ consiste à développer des capacités de détection. La détection des menaces est un problème complexe en raison du volume d’alertes générées dans un environnement typique. Même après un ajustement régulier, un quart de toutes les alertes sont des faux positifs.

L’adoption d’une approche de défense active par l’utilisation de leurres pour détecter les menaces résout deux problèmes :

  1. Mise en œuvre rapide : alors que les approches traditionnelles de détection des menaces prennent des mois pour être pleinement opérationnelles et efficaces, la détection des menaces basée sur la tromperie peut être mise en œuvre en quelques jours.
  2. Faible taux de faux positifs : les leurres sont déployés de manière à être invisibles pour l’utilisateur légitime. Toute interaction avec un leurre constitue donc un indicateur fiable d’une violation. Les équipes de sécurité peuvent donner la priorité aux alertes de tromperie pour commencer à enquêter et déclencher l’orchestration.

La tromperie fournit diverses approches de détection des menaces. En voici quelques-unes :

  • Tromperie du périmètre : leurres accessibles sur Internet qui détectent de manière heuristique les menaces de pré-intrusion ciblant spécifiquement votre entreprise
  • Tromperie d’application : leurres du système serveur qui hébergent des services tels que des serveurs SSH, des bases de données, des partages de fichiers, etc.
  • Tromperie de terminal : champ de mines pour vos terminaux qui inclut des fichiers leurres, des identifiants leurres, des processus leurres, etc.
  • Tromperie d’Active Directory : faux utilisateurs dans Active Directory qui détectent les activités d’énumération et les accès malveillants
  • Tromperie cloud : leurres de serveurs Web, bases de données, serveurs de fichiers, etc. qui détectent les déplacements latéraux dans vos environnements cloud
  • Tromperie par e-mail : e-mails leurres qui interceptent les hackers tentant de lancer des attaques d’ingénierie sociale ou de spear phishing

Zscaler Deception fournit 99 % des capacités couvertes par MITRE Engage. Si vous souhaitez vous lancer dans la tromperie, renforcer votre programme de détection des menaces ou rendre le cadre MITRE Engage pleinement opérationnel, téléchargez ce livre blanc et découvrez comment utiliser Zscaler Deception pour mettre en œuvre toutes les activités de défense active sans aucun travail manuel.

Nous organisons également un webinaire avec Stanley Barr, responsable des capacités de MITRE pour le déni cybernétique, la tromperie et la mobilisation contre l’adversaire, et Bill Hill, RSSI de MITRE, au cours duquel nous répondrons aux questions suivantes :

  • Que sont la cyber-tromperie et la mobilisation contre l’adversaire ?
  • Qu’est-ce que MITRE Engage ?
  • Comment la tromperie s’inscrit-elle dans une architecture Zero Trust ?
  • Comment intégrer la tromperie dans votre boîte à outils de sécurité ?
  • À quoi ressemble la tromperie en action ?

Si vous souhaitez en savoir plus sur la défense active, la tromperie et la mobilisation contre l’adversaire auprès des personnes qui ont inventé le cadre, ce webinaire est le point de départ idéal. Inscrivez-vous ici.

form submtited
Merci d'avoir lu l'article

Cet article a-t-il été utile ?

Recevez les dernières mises à jour du blog de Zscaler dans votre boîte de réception

En envoyant le formulaire, vous acceptez notre politique de confidentialité.