Rendre MITRE ATT&CK exploitable

L'équipe de Swimlane Deep Dive est ravie d'annoncer la sortie de pyattck 2.0 et une version PowerShell équivalente appelée PSAttck. Ces outils open source fournissent aux centres d'opérations de sécurité (SOC), aux équipes de défense et aux équipes de sécurité offensive des données externes qui enrichissent MITRE ATT&CK en proposant des commandes, des requêtes et même des détections potentielles pour des techniques spécifiques. De plus, ces données permettent de contextualiser les acteurs ou groupes d'attaquants, et d'obtenir des informations détaillées sur les différents outils utilisés par les acteurs malveillants.

Grâce à l'accès aux techniques, acteurs et outils MITRE ATT&CK, les professionnels de la sécurité peuvent analyser les journaux à la recherche de commandes potentiellement liées à une technique spécifique, ce qui leur permet de créer et d'exploiter des détections et des requêtes à partir de ces informations. Ces projets open source s'appuient sur plusieurs autres projets open source pour fournir un contexte exploitable, évitant ainsi de dépendre de connaissances et d'une expérience spécifiques à un domaine particulier, ainsi que d'une technique, d'un acteur ou d'un outil répertorié dans MITRE ATT&CK.

REMARQUE : Toutes les techniques ne disposeront pas de propriétés de données externes, mais nous élargirons continuellement cet ensemble de données afin de couvrir toutes les techniques à l’avenir.

pyattck et PSAttck offrir l'accès aux points de données externes suivants :

• Cibles, opérations et données complémentaires relatives aux acteurs.
• Commandes, requêtes et détections potentielles issues de projets open-source pour des techniques individuelles.
• Données provenant de http://www.thec2matrix.com et des ensembles de données supplémentaires, fournissant un contexte aux outils spécifiques utilisés par les attaquants.

Vous trouverez plus d'informations sur ces fonctionnalités sur notre site web. Site d'attaque, qui contient la documentation pour pyattck, PSAttck et les données externes générées.

pyattck et PSAttck sont tous deux disponibles sur leurs plateformes de gestion de paquets respectives et peuvent être installés dès aujourd'hui !

Installation et utilisation de pyattck

pyattck est disponible sur pypi.org et installable via pip. installer pyattck vous pouvez exécuter la commande suivante :

pip install pyattck>=2.0.2

Avec la sortie de pyattck 2.0, nous avons restructuré le projet afin de segmenter les différents frameworks ATT&CK. Vous pouvez ainsi accéder aux frameworks PRE-ATT&CK, Mobile et Enterprise depuis pyattck. Si vous souhaitez accéder uniquement aux données du framework Enterprise ATT&CK, spécifiez la propriété « enterprise ».

from pyattck import Attck attck = Attck() for technique in attck.enterprise.techniques: print(technique.name) print(technique.id) # if the technique has a command_list you can access it here if hasattr(technique, 'command_list'): print(technique.command_list)

Vous pouvez accéder aux autres frameworks MITRE ATT&CK en utilisant :

• PRE-ATT&CK – attck.preattack
• Mobile ATT&CK – attck.mobile

De plus, nous avons ajouté un simple ligne de commande Cet utilitaire vous permet d'accéder directement à ces données. Une fois pyattck installé, vous pouvez y accéder en lançant simplement la commande `pyattck` depuis votre terminal préféré.

pyattck entreprise --aide

Pour plus de détails concernant pyattck, son installation, ses options de configuration, son utilisation et la documentation générale, veuillez consulter cette page.

pyattck et PSAttck sont tous deux disponibles sur leurs plateformes de gestion de paquets respectives et peuvent être installés dès aujourd'hui !

Installation et utilisation de PSAttck

PSAttck est disponible sur https://www.powershellgallery.com/ et installable à l'aide de Install-Module. PSAttck est compatible avec Windows PowerShell v5 et PowerShell Core. installer PSAttck vous pouvez exécuter la commande suivante :

Installer-Module -Nom PSAttck

PSAttck possède les mêmes fonctionnalités que pyattck, mais en PowerShell. PSAttck utilise les classes PowerShell et vous permet d'accéder aux données MITRE ATT&CK ainsi qu'à des ensembles de données externes grâce aux fonctions fournies. Une fois installé et chargé, vous aurez accès aux fonctions publiques suivantes :

• Attack
• Get-AttckActor
• Get-AttckMalware
• Get-AttckMitigation
• Tactique d'attaque
• Get-AttckTechnique
• Get-AttckTool

Chacune de ces fonctions possède des paramètres optionnels permettant de filtrer les résultats. Ces filtres incluent également la possibilité de compléter automatiquement les valeurs des arguments.

PSAttck est une version de pyattck aux fonctionnalités comparables, mais écrite en PowerShell. Pour plus de détails, veuillez consulter : PSAttck et installation, options de configuration, usage, et documentation générale, consultez le dépôt et notre site Attck pour obtenir de la documentation supplémentaire :

• https://github.com/swimlane/PSAttck
• https://swimlane.github.io/attck/

Vous souhaitez en savoir plus sur pyattck, PSAttck et d'autres outils open source ? Consultez le nouveau Centre d'analyse des couloirs de nage. Et n'oubliez pas de vous inscrire au prochain webinaire de Swimane, “Automatisation des tests d'attaque avec SOAR et Atomic Red Team, pour une analyse approfondie de l'utilisation de SOAR afin d'optimiser vos capacités de test de contrôle de sécurité.

Automatisation des tests d'attaque avec SOAR et Atomic Red Team

Il s'agit du cadre de référence utilisé par les organisations pour suivre leurs contrôles de sécurité défensifs, mais identifier leurs capacités de détection, ou leur absence, peut s'avérer complexe à l'échelle mondiale. Heureusement, certaines entreprises ont publié des projets open source, comme Atomic Red Team de Red Canary, pour aider les équipes de sécurité à tester ces contrôles. Visionnez ce webinaire à la demande pour découvrir comment tirer parti de SOAR afin d'automatiser ces projets et d'optimiser vos tests de sécurité.

Regardez maintenant