Comment j’analyse les acteurs des menaces spécifiques à un secteur et leurs techniques | de Lennart Erikson | décembre 2023

Lorsque je travaille avec des clients de différents secteurs, je discute parfois des différences dans le paysage des menaces entre ces secteurs et, à un moment donné, une visualisation des différences dans les paysages des menaces, ou mieux, des acteurs de la menace et de leurs TTP est nécessaire.

Si vous avez lu mes articles précédents sur « Trois façons d’utiliser le navigateur ATT&CK pour une prise de décision éclairée sur les menaces », vous saurez probablement où va cet article. Je vais encore une fois souligner un cas d’utilisation pour le Navigateur MITRE ATT&CK® (ou « Navigateur » pour faire court), car je préfère utiliser les outils existants plutôt que de répliquer des modèles dans, par exemple, PowerPoint.

Création de couches de navigateur spécifiques à l’industrie

Pour commencer, nous ouvrons un nouvel onglet et sélectionnons le domaine sur lequel nous voulons baser notre analyse/visualisation (j’ai opté pour le domaine Entreprise).

Ensuite, nous utilisons l’outil « recherche et sélection multiple » de la section des contrôles de sélection de la barre d’outils et recherchons le secteur qui nous intéresse. Dans mon cas, j’ai recherché des groupes de menaces liés à l’industrie du voyage.

Je recommande de cliquer sur le lien « Afficher » pour chaque groupe afin de vérifier que la correspondance est correcte et que le groupe est pertinent pour le secteur en question, car de nombreux groupes ciblent plusieurs secteurs ou la correspondance n’est que partielle.

Conseil: D’après mon expérience, c’est également une bonne idée de vérifier les correspondances dans la catégorie Logiciels en dessous de celle des groupes de menaces. Parfois, un certain malware est particulièrement pertinent pour un secteur donné (même s’il est probablement utilisé par un ou plusieurs des groupes déjà identifiés, mais là encore, je préfère avoir de nombreuses correspondances au début et nettoyer à partir de là).
Dans ce cas par exemple, le Bazar les logiciels malveillants pourraient être un ajout intéressant à la sélection actuelle.

Pour garder mon modèle simple, j’ai choisi de sélectionner uniquement toutes les techniques utilisées par APT39 et colorie-les en rouge.

Ce qui m’a donné le résultat suivant :

Si nous voulons maintenant partager cette visualisation avec nos amis et collègues, nous pouvons le faire en cliquant sur le bouton « exporter » dans la section Contrôles de calque de la barre d’outils et en choisissant le format d’exportation que nous aimons.

Facultatif : Combiner des calques

Si vous souhaitez avoir une visualisation consolidée des acteurs de la menace ciblant plusieurs secteurs ou si vous souhaitez appliquer des pondérations aux techniques attribuées à certains acteurs d’un secteur spécifique mais non vues dans un autre secteur, vous pouvez le faire en créant et en fusionnant des couches supplémentaires comme expliqué dans mon article précédent intitulé « Trois façons d’utiliser le navigateur ATT&CK pour une prise de décision éclairée par les menaces – Partie 1 ».

Si vous avez aimé cet article, pensez à me suivre sur Medium, car je publie davantage de contenu comme celui-ci chaque semaine. Si vous souhaitez avoir une conversation sur cet article – ou sur l’un de mes articles – n’hésitez pas à nous contacter via LinkedIn.