зеркало из
https://github.com/M82-project/Productions_M82.git
synced 2025-10-28 20:54:16 +02:00
Update La Pyramide of Pain.tex
Этот коммит содержится в:
BartM82
GitHub
родитель
6413195490
Коммит
d06b123dea
@ -7,8 +7,6 @@
|
||||
\usepackage[francais]{babel}
|
||||
|
||||
|
||||
% \pagestyle{headings}
|
||||
|
||||
\title{La Pyramid of Pain : l'arche perdue de la cybersécurité ?}
|
||||
\author{Bertrand Boyer} %\and Autre Auteur}
|
||||
\date{26 juillet 2023}
|
||||
@ -18,9 +16,6 @@
|
||||
|
||||
\maketitle
|
||||
|
||||
%\frontmatter % Prologue
|
||||
|
||||
%\section{Voeux}
|
||||
|
||||
Dans notre étude des concepts et des modèles d’analyse appliqués à la cyber sécurité, après \href{https://www.m82-project.com/post/disarm-un-pas-vers-la-cti-pour-lutter-contre-la-désinformation}{la « reine » des matrices (i.e MITRE ATT\&CK)} nous explorons dans ce post la « Pyramid of Pain », l’échelle de la douleur de l’attaquant ! Se replonger dans ces concepts de cybersécurité permet de faire évoluer les modèles et les pratiques qui se développent dans le cadre de la lutte contre les campagnes numériques de manipulation de l’information.
|
||||
|
||||
@ -33,37 +28,38 @@ Pour son concepteur, il s’agit d’identifier les indicateurs techniques qui d
|
||||
\includegraphics{Pyramide of pain.jpg}
|
||||
|
||||
Dans cette vision, les IOC peuvent être divisés en deux grands ensembles :
|
||||
|
||||
● IOCs comportementaux, qui caractérisent l’attaquant et ses méthodes. On retrouve ici le « haut de la pyramide », les tactiques, techniques et procédures (TTPs), les outils (tools), les artefacts réseaux et locaux (networks and Hos artifacts).
|
||||
|
||||
● IOCs traditionnels, qui sont en général des données techniques rattachées à la supervision et à la collecte de log. On place ainsi dans cette catégorie, le milieu et la base de la pyramide, les noms de domaine, les adresses IP ou les hash.
|
||||
\begin{itemize}
|
||||
\item IOCs comportementaux, qui caractérisent l’attaquant et ses méthodes. On retrouve ici le « haut de la pyramide », les tactiques, techniques et procédures (TTPs), les outils (tools), les artefacts réseaux et locaux (networks and Hos artifacts).
|
||||
\item IOCs traditionnels, qui sont en général des données techniques rattachées à la supervision et à la collecte de log. On place ainsi dans cette catégorie, le milieu et la base de la pyramide, les noms de domaine, les adresses IP ou les hash.
|
||||
\end{itemize}
|
||||
|
||||
Évidemment, pour le défenseur, détecter et supprimer les IOCs comportementaux s’avère extrêmement complexe mais particulièrement efficace pour lutter contre un mode opératoire adverse. En 2019, sur son blog, SEKOIA propose d’étendre la pyramide en ajoutant à son sommet, le Graal de la CTI : l’identité réelles et numériques des attaquants.
|
||||
|
||||
Dans la version initiale, on peut schématiquement présenter les 6 niveaux de la pyramide comme suit :
|
||||
\begin{itemize}
|
||||
\item Hash values (trivial) : strate la plus basse qui rassemble les empreintes cryptographiques des fichiers déployés par les attaquants (exécutables, configuration, etc.). Ces indicateurs, généralement fiables (pas de faux-positifs), sont par ailleurs facilement modifiables (une modification minime du fichier entraine une empreinte différente) c’est la raison pour laquelle ils sont au bas de la pyramide. Facile à détecter mais également facile à modifier par l’attaquant.
|
||||
|
||||
Hash values (trivial) : strate la plus basse qui rassemble les empreintes cryptographiques des fichiers déployés par les attaquants (exécutables, configuration, etc.). Ces indicateurs, généralement fiables (pas de faux-positifs), sont par ailleurs facilement modifiables (une modification minime du fichier entraine une empreinte différente) c’est la raison pour laquelle ils sont au bas de la pyramide. Facile à détecter mais également facile à modifier par l’attaquant.
|
||||
\item IP Adresses (facile) : indicateur le plus courant dans l’analyse réseau il est pourtant relativement peu pertinent tant il est volatil et là encore assez facilement modifiable. Ainsi, la perte de cet élément pour l’attaquant est quasi indolore. En revanche l’indicateur conserve bien évidement sa pertinence pour le défenseur dans l’analyse de log.
|
||||
|
||||
IP Adresses (facile) : indicateur le plus courant dans l’analyse réseau il est pourtant relativement peu pertinent tant il est volatil et là encore assez facilement modifiable. Ainsi, la perte de cet élément pour l’attaquant est quasi indolore. En revanche l’indicateur conserve bien évidement sa pertinence pour le défenseur dans l’analyse de log.
|
||||
\item Nom de domaine (simple) : après le système d’adressage (IP adress) vient naturellement le nommage. Ici les domaines et sous-domaines sont des indicateurs assez intéressants car ils nécessitent pour l’attaquant d’effectuer (en général) une démarche de dépôt et d’enregistrement. Il lui faut donc en quelques sorte laisser des traces (payer, fournir une adresse mail de contact). La perte, le blocage ou la compromission (et oui l’arroseur arrosé ce n’est pas qu’au cinéma) d’un tel actif présente donc certains inconvénients pour l’attaquant et peut même conduire à des fautes de sécurité. C’est donc fâcheux mais encore simple pour y remédier.
|
||||
|
||||
Nom de domaine (simple) : après le système d’adressage (IP adress) vient naturellement le nommage. Ici les domaines et sous-domaines sont des indicateurs assez intéressants car ils nécessitent pour l’attaquant d’effectuer (en général) une démarche de dépôt et d’enregistrement. Il lui faut donc en quelques sorte laisser des traces (payer, fournir une adresse mail de contact). La perte, le blocage ou la compromission (et oui l’arroseur arrosé ce n’est pas qu’au cinéma) d’un tel actif présente donc certains inconvénients pour l’attaquant et peut même conduire à des fautes de sécurité. C’est donc fâcheux mais encore simple pour y remédier.
|
||||
\item Network/Host Artifacts (ennuyeux) : les artefacts réseaux et locaux sont liés à l’activité de l’attaquant sur la cible, il s’agit des flux entrants/sortants et de leurs caractéristiques. Ils permettent aux équipes de sécurité de définir assez clairement ce qui relève d’une activité légitime ou pas. Ils peuvent en outre contenir des informations de valeurs sur l’infrastructure d’attaque (URLs, serveurs de command and control, etc.). Détecter et neutraliser ces indicateurs constituent donc un véritable problème pour l’attaquant et ralentira significativement son action.
|
||||
|
||||
Network/Host Artifacts (ennuyeux) : les artefacts réseaux et locaux sont liés à l’activité de l’attaquant sur la cible, il s’agit des flux entrants/sortants et de leurs caractéristiques. Ils permettent aux équipes de sécurité de définir assez clairement ce qui relève d’une activité légitime ou pas. Ils peuvent en outre contenir des informations de valeurs sur l’infrastructure d’attaque (URLs, serveurs de command and control, etc.). Détecter et neutraliser ces indicateurs constituent donc un véritable problème pour l’attaquant et ralentira significativement son action.
|
||||
\item Tools (problématique) : « Chef, on a un problème ». Les outils déployés par un acteur malveillant sont bien souvent longs à développer, taillés sur mesure par rapport à la cible et aux objectifs poursuivis. Sur la base des artefacts détectés au préalable, l’identification des outils logiciels de l’attaquant porte un coup sévère à son action.
|
||||
|
||||
Tools (problématique) : « Chef, on a un problème ». Les outils déployés par un acteur malveillant sont bien souvent longs à développer, taillés sur mesure par rapport à la cible et aux objectifs poursuivis. Sur la base des artefacts détectés au préalable, l’identification des outils logiciels de l’attaquant porte un coup sévère à son action.
|
||||
|
||||
TTPs (fatal) : Un groupe malveillant est généralement identifié suivant son mode opératoire, les TTPs sont donc cette signature (que l’on espère unique) qui caractérise un groupe. Cette approche comportementale, permet d’indenter un acteur, non plus sur la simple base de la détection d’outils mais bien sur des inputs comportementaux et sur ces choix (volontaires ou involontaires).
|
||||
\item TTPs (fatal) : Un groupe malveillant est généralement identifié suivant son mode opératoire, les TTPs sont donc cette signature (que l’on espère unique) qui caractérise un groupe. Cette approche comportementale, permet d’indenter un acteur, non plus sur la simple base de la détection d’outils mais bien sur des inputs comportementaux et sur ces choix (volontaires ou involontaires).
|
||||
\end{itemize}
|
||||
|
||||
Une autre approche en 2020 complète le travail de David Bianco et propose de subdiviser le sommet de la pyramide pour différencier les tactiques, techniques et procédures et ainsi faciliter le traitement et l’intégration avec le framework MITRE ATT\&CK
|
||||
|
||||
Source : https://scythe.io/library/summiting-the-pyramid-of-pain-the-ttp-pyramid
|
||||
\href{https://scythe.io/library/summiting-the-pyramid-of-pain-the-ttp-pyramid}{source}
|
||||
|
||||
Tout l’enjeu de la CTI consiste donc à déterminer où porter son effort pour maximiser les chances de succès. Clairement le sommet de la pyramide présente un intérêt majeur mais également le plus de difficultés.
|
||||
|
||||
\section{Application et adaptation pour la lutte contre les campagnes de désinformation }
|
||||
|
||||
Mais à quoi peut bien servir cette pyramide et comment la mettre en œuvre ?
|
||||
|
||||
Mais à quoi peut bien servir cette pyramide et comment la mettre en œuvre
|
||||
\\
|
||||
À vrai dire une rapide recherche avec votre moteur de recherche préféré (celui qui préserve un peu vos données personnelles), ne donne pas grand-chose de très concluant. Visiblement depuis 10 ans, la pyramide n’a pas vraiment évolué et ses applications pratiques ne sautent pas aux yeux. Pourtant, elle marque une étape importante dans la courte histoire de la CTI et lance les travaux méthodologiques au moment même où se conçoivent le modèle diamant et la célèbre cyber kill chain (2011) de Lockheed Martin. Il faut en effet avoir en tête qu’il faut attendre 2015 pour voir le framework MITRE ATT&CK être utilisé, soit deux ans après la pyramide. Celle-ci apparait donc au moment où fleurissent de nombreuses tentatives de modélisations des menaces. Si elle n’est pas un outil de CTI en elle-même, elle complète l’analyse et permet d’affiner les stratégies de détection, voire de hunting.
|
||||
|
||||
En matière de campagne de manipulation de l’information, nous sommes probablement en "2013", les premier rapports ont été publiés par plusieurs organismes et Etats (dont la France avec le rapport RRN) et le sujet devient un champ d'étude à part entière. Ainsi, si l'on souhaite transposer la pyramide à ce nouveau domaine, la première étape consiste à définir ce que peut être un indicateur de compromission (IOC) qui dans le cas d’espèce serait un indicateur of manipulation (IOM ?). On retrouve ainsi la notion de noms de domaine comme indicateur dans une campagne de désinformation mais il reste à le placer sur la pyramide. La base étant sans doute constituée des "produits et narratifs" diffusés. Dans dans un second temps il faudrait s’attacher à différencier les indicateurs comportementaux des indicateurs plus techniques (l’équivalent des logs). La structure même du framework DISARM permet de dresser une première analogie avec la CTI et donc d’imaginer pouvoir établir un score de pénibilité pour les différentes actions listées. Mais la route est encore longue.
|
||||
|
||||
Загрузка…
x
Ссылка в новой задаче
Block a user