Tactiques des attaquants
Objectifs tactiques des attaquants recensés par le modèle ATT&CK® :
Reconnaissance
Développement de ressources
Accès initial
Exécution
Maintien
Élévation de privilèges
Contournement des défenses
Accès aux identifiants
Découverte
Mouvement latéral
Collecte
Commandement et contrôle
Exfiltration
Impact
Définitions et contre-mesures
Reconnaissance :
L'attaquant veut recueillir des informations avant l'attaque .
Contre-mesures :
contrôler la publication d' information
masquer les indices sur les logiciels utilisés
désactiver les ports et les services
utiliser un parre-feu
prévenir et détecter les intrusions
bloquer les IP , Tor et les VPN
Développement de ressources (ou armement) :
L'attaquant veut se procurer ou fabriquer les ressources nécessaires à l'attaque.
Contre-mesure :
Suivre les marchés underground
Accès initial :
L'attaquant veut pénétrer dans le système .
Exécution (ou exploitation) :
L'attaquant veut exécuter du code malveillant dans le système compromis.
Contre-mesures :
empêcher la livraison : filtrage , blocage , sensibilisation
limiter les droits
restaurer un système propre
Maintien (ou persistance) :
L'attaquant veut conserver un accès au système,
même après redémarrage ou changement des identifiants .
Élévation de privilèges :
L'attaquant veut obtenir des droits plus élevés que ceux déjà compromis.
Contournement des défenses (ou furtivité) :
L'attaquant veut se dissimuler , en masquant ses traces ou en désactivant les mécanismes de sécurité .
Contre-mesures :
pare-feu
détection et prévention d' intrusion
analyse avancée des journaux en temps réel
micro-segmentation réseau
Accès aux identifiants :
L'attaquant veut voler des identifiants ,
par exemple des noms d'utilisateurs ou des mots de passe .
Découverte :
L'attaquant veut comprendre l' environnement compromis pour mieux cibler l’attaque .
Mouvement latéral :
L'attaquant veut se déplacer vers d’ autres machines ou services du système compromis.
Contre-mesures :
micro-segmentation réseau
zero trust : authentification mutuelle généralisée
Collecte :
L'attaquant veut rassembler des données sensibles ou pertinentes pour ses objectifs .
Commandement et contrôle :
L'attaquant veut communiquer discrètement avec les systèmes compromis pour les contrôler .
Contre-mesures :
inspecter les paquets réseau en profondeur
isoler
bloquer les IP
Exfiltration :
L'attaquant veut transférer des données vers un système externe .
Impact :
L'attaquant veut perturber , détruire ou altérer des données ou un système .