À son framework ATT@CK lancé en 2013, MITRE a ajouté, l’an dernier, D3FEND, axé sur les techniques de défense.
Commentaire décrivant différentes approches destinées à résoudre un même problème ? Chez MITRE, la question s’est posée lors de l’élaboration du cadre de cybersécurité D3FEND.
L’organisation américaine est plus connue pour un autre référentiel. En l’occurrence, ATT@CK (« Tactiques, techniques et savoirs communs contradictoires »). Ce dernier, né en 2013, qui apporte des informations sur le comportement des attaquants.
D3FEND (« Detection, Denial and Disruption Framework Empowering Network Defense ») est bien plus récent (lancé mi-2021). Encore en version expérimentale, le répertoire des techniques défensives. Son premier objectif : aider à normaliser le vocabulaire utilisé pour décrire ces techniques. En l’état, MITRE lui prête deux usages :
– Analyser les fonctionnalités de produits de cybersécurité
– Grâce à une passerelle avec ATT@CK, déterminer comment ces produits mettent en application leurs fonctionnalités
La matrice D3FEND
Comme ATT@CK, D3FEND se divise en cinq « tactiques », elles-mêmes sous-divisées en « techniques ». Dans les grandes lignes :
1 – Renforcement de la sécurité
– Applications (élimination du code mort, authentification des pointeurs…)
– Informations d’identification (biométrie, certificats…)
– Messages (authentification, chiffrement…)
– Plates-formes (intégrité des pilotes, permissions locales…)
2 – Détection
– Fichiers (analyse dynamique, hachage…)
– Identifiants (réputation des IP, des noms de domaines…)
– Messages (réputation des MTA, des expéditeurs…)
– Trafic (métadonnées de protocoles, ration téléchargement/téléversement par hôte…)
– Plate-forme (comportement du micrologicielgestion de la mémoire…)
– Processus (branchements indirects, exécution de scripts…)
– Utilisateurs (durée des sessions, monitoring local…)
3 – Isolement
– Exécution (matérielle, noyau, restriction des I/O…)
– Réseau (domaines de diffusion, tunnels chiffrés…)
4 – Leurres
– Environnements (pots de miel)
– Objets (faux fichiers, jetonsressources réseau…)
5 – Suppression
– Informations d’identification (verrouillage de compte, invalidation de cache d’authentification…)
– Processus (arrêt)
Source principale : un corpus de « plus de 500 brevets » déposés aux États-Unis entre 2001 et 2018. Une source que MITRE est réputée comme plus précise que les livres blancs et autres supports concernés des offreurs. Sans nier que les éléments qui y sont inventés sont, par opposition au cas des rapports académiques, choisis pour mettre en avant la nouveauté et l’utilité des technologies.
Dans l’absolu, la « marge de progression » est grande si on considère que la base de brevets prix en compte regroupe plusieurs dizaines de milliers d’éléments. Et que MITRE a croisé cet ensemble avec d’autres ressources (conférences, blogs, revues spécialisées).
Le focus initial a porté sur les fournisseurs spécialisés dans la détection. La réflexion s’est activée sur deux aspects : le cœur fonctionnel et l’interaction utilisateur. C’est là que MITRE a constaté la variété des approches face à un même problème. Il en donne l’exemple à proposer de la segmentation des processus : quelle est la source de vérité pour s’assurer que les fragments de code sont bien attendus de ceux ? Que se passe-t-il si certains sont jugés invalides ?…
Illustration principale © pinkeyes – Adobe Stock
