MITRE ATT&CK
MITRE ATT&CK (prononcé “Mitre Attack”) est une base de connaissances mondiale des tactiques, techniques et procédures (TTPs) utilisées par les cybercriminels et groupes d’attaquants réels. Elle est gérée par MITRE, une organisation à but non lucratif qui travaille avec le gouvernement américain sur des projets de sécurité nationale et de cybersécurité.
🌐 Site officiel : https://attack.mitre.org
🎯 Objectif de MITRE ATT&CK¶
Aider les entreprises, analystes, SOCs et équipes de cybersécurité à :
-
Comprendre le comportement réel des attaquants
-
Identifier les techniques utilisées dans les cyberattaques
-
Cartographier des incidents à des TTPs connues
-
Évaluer les défenses et détecter les failles
-
Concevoir des détections et des réponses efficaces
🧱 Structure de MITRE ATT&CK¶
MITRE ATT&CK est organisé sous forme de matrice comportant :
-
Tactiques (les objectifs des attaquants — colonnes)
-
Techniques (comment ils atteignent ces objectifs — lignes)
-
Sous-techniques (variantes spécifiques)
-
Procédures réelles observées
-
Groupes connus (APT29, Lazarus, etc.)
-
Logiciels / malwares utilisés
📊 Exemple de tactiques dans la matrice¶
| Tactique (colonne) | Description rapide |
|---|---|
| Initial Access | Comment l'attaquant entre dans le système |
| Execution | Lancer du code malveillant |
| Persistence | Rester dans le système après redémarrage |
| Privilege Escalation | Obtenir plus de privilèges |
| Defense Evasion | Éviter la détection |
| Command and Control (C2) | Communiquer avec l’infrastructure externe |
| Exfiltration | Voler et transférer des données |
Chaque tactique contient des techniques, comme :
-
T1059– Command and Scripting Interpreter -
T1027– Obfuscated Files or Information -
T1547– Boot or Logon Autostart Execution
🧠 Ce que contient chaque fiche technique¶
Pour chaque technique ou sous-technique, MITRE ATT&CK fournit :
-
Description claire
-
Exemples de groupes APT qui l’utilisent
-
Outils ou malwares associés
-
Méthodes de détection
-
Conseils de mitigation (prévention)
👥 Groupes d'attaquants documentés¶
MITRE répertorie aussi des groupes connus (étatiques ou criminels), par exemple :
-
APT29 (Cozy Bear, lié à la Russie)
-
APT28 (Fancy Bear)
-
Lazarus Group (Corée du Nord)
-
Cobalt Group
-
FIN7, etc.
Chaque groupe est lié à un ensemble spécifique de techniques qu'il utilise régulièrement.
🔧 Versions de ATT&CK¶
-
Enterprise ATT&CK : pour postes de travail, serveurs, cloud (Windows, macOS, Linux, Azure, Google Cloud…)
-
Mobile ATT&CK : pour Android et iOS
-
ICS ATT&CK : pour les systèmes industriels (SCADA, OT)
🧪 Utilisation typique de MITRE ATT&CK¶
-
Par les SOC / Blue Teams pour la détection et réponse
-
Par les Red Teams pour planifier des simulations d’attaque (ex : MITRE CALDERA)
-
Dans les SIEM/EDR pour mapper les logs à des techniques ATT&CK
-
Pour créer des plans de mitigation basés sur des menaces réelles
✅ En résumé¶
| Élément | Détail |
|---|---|
| Acronyme | ATT&CK = Adversarial Tactics, Techniques, and Common Knowledge |
| Géré par | MITRE, USA |
| Utilité | Modéliser et détecter les comportements d’attaquants |
| Contenu | Tactiques, techniques, groupes APT, outils, détections |
| Public ciblé | Blue teams, SOCs, pentesters, threat hunters, analystes |
| Gratuit ? | Oui, totalement open source |