D3fend, le framework défensif construit à partir de la connaissance de l’attaque

La NSA vient de lever le voile sur une matrice des contre-mesures de cybersécurité, construite en s’appuyant sur la connaissance des menaces structurée avec le désormais incontournable framework Att&ck.

L’agence du renseignement américaine, la NSA, vient de rendre disponible, via le Mitre, un nouveau framework baptisé D3fend. Celui-ci constitue « une base de connaissance technique des contre-mesures défensives pour les techniques offensives courantes ». En cela, il capitalise donc sur la matrice Att&ck du même Mitre.

Pour mémoire, comme le rappelait Digital Guardian fin 2018, « le Mitre, une organisation à but non lucratif qui accompagne plusieurs administrations américaines, a commencé à développer Att&ck en 2013. Le framework, dont l’acronyme signifie Adversarial Tactics, Techniques and Common Knowledge, a été officiellement dévoilé en mai 2015, mais a fait l’objet de nombreuses mises à jour, généralement trimestrielles, depuis lors ».

Surtout, ce framework visant à « décrire et classer les comportements d’adversaires sur la base d’observations concrètes », comme le résumait Anomali il y a deux ans, est devenu omniprésent. À l’époque, les équipes de Sekoia, voyaient Att&ck comme « un point de départ qui peut aider à structurer une démarche de renseignement sur les menaces en termes de capitalisation, d’analyse et de compréhension des modes opératoires attaquants, mais également en matière de détection et d’évaluation de ses propres défenses ».

De fait, chacun, dans son organisation, peut s’appuyer sur Att&ck pour déterminer où concentrer ses efforts de renforcement de ses capacités défensives, en fonction de son modèle de menaces. Mais D3fend simplifie cette tâche en fournissant « un modèle des façons de contrer les techniques offensives courantes, énumérant la manière dont les techniques défensives affectent la capacité d’un acteur [malveillant] à réussir ».

En s’appuyant sur ce nouveau framework, il devient plus aisé de déterminer quelles contre-mesures manquent au système d’information pour faire face à certaines menaces données. À supposer que la mise en œuvre de ces contre-mesures soit faite de manière pertinente. Car le risque associé à ce type de framework est connu : cocher des cases et viser la conformité plutôt que penser sécurité. 

Pour approfondir sur Gestion de la sécurité (SIEM, SOAR, SOC)

Close