pyattack de Swimlane fonctionne avec le framework Mitre ATT&CK

REMARQUE : Cadre Mitre ATT&CK Ce document ne constitue PAS une cartographie exhaustive de la sécurité. Il s'agit plutôt d'un CADRE DE GESTION, et d'autres pistes doivent être envisagées lors de l'évaluation de votre niveau de sécurité.

À mesure que les équipes de sécurité adoptent Cadre Mitre ATT&CK Pour les aider à identifier les failles de leurs défenses, il devient crucial de pouvoir déterminer quels logiciels malveillants et outils sont utilisés par des acteurs ou des groupes spécifiques. De plus, il est encore plus important de pouvoir identifier ces liens par programmation.

Aujourd'hui, nous sommes ravis d'annoncer que l'équipe de recherche Swimlane a publié pyattck—un package Python pour interagir avec le Cadre Mitre ATT&CK. De nombreux projets open source sont publiés quotidiennement, mais nous souhaitions proposer un package Python simple permettant à l'utilisateur d'identifier les relations connues entre tous les secteurs d'activité. Cadre Mitre ATT&CK.

Si vous n'êtes pas familier avec le Cadre Mitre ATT&CK, il y a quelques éléments clés que vous devez bien maîtriser :

Tactiques et techniques

En regardant le Cadre Mitre ATT&CK, Les tactiques sont listées dans les colonnes et représentent les différentes phases d'une attaque.

Les techniques apparaissent dans les lignes situées sous les tactiques spécifiques (colonnes) et constituent des points de données au sein du cadre d'analyse, fournissant des indications pour l'évaluation des failles de sécurité. De plus, la plupart des techniques incluent des recommandations de mesures d'atténuation, ainsi que des informations sur leur lien avec les outils, les logiciels malveillants, voire les acteurs ou groupes qui utilisent ou ont utilisé la technique lors d'attaques recensées.

Si votre organisation se concentre sur les tactiques, techniques et procédures (TTP) utilisées par certains acteurs/groupes, alors Cadre Mitre ATT&CK Ce framework est idéal pour vous. Si votre organisation n'a pas encore atteint ce niveau de maturité en matière de sécurité, pas d'inquiétude ! Le framework ATT&CK offre des recommandations pertinentes dans une présentation simple et claire. Cependant, sa mise en œuvre n'est pas aisée, notamment si vous souhaitez mesurer (ou cartographier) vos contrôles de sécurité à l'aide de ce framework.

Mais ne vous inquiétez pas, nous avons libéré pyattck en tant que package Python open-source permettant aux équipes de sécurité de s'appuyer sur ces relations pour leurs propres outils internes ou externes. Actuellement, pyattck permet d'identifier les relations suivantes, et d'autres seront ajoutées ultérieurement :

• Acteur
  • Outils utilisés par l'acteur ou le groupe.
  • Logiciel malveillant utilisé par l'acteur ou le groupe.
  • Techniques utilisées par l'acteur ou le groupe.
• Logiciel malveillant
  • Acteur ou groupe utilisant ce logiciel malveillant.
  • Techniques utilisées par ce logiciel malveillant.
• Atténuation
  • Techniques liées à un ensemble spécifique de suggestions d'atténuation.
• Tactique
  • Techniques utilisées dans une tactique spécifique (phase).
• Technique
  • Tactiques dans lesquelles on trouve une technique.
  • Suggestions de mesures d'atténuation pour une technique donnée.
  • Acteur ou groupe(s) identifié(s) comme utilisant cette technique.
• Outils
  • Techniques utilisées dans les outils spécifiés.
  • Acteur ou groupe(s) utilisant un outil spécifique.

Par exemple, si votre équipe de sécurité souhaite s'assurer d'être protégée contre les TTP liées à APT1, alors au lieu de consulter une carte visuelle d'informations sur APT1, vous pouvez utiliser pyattck pour extraire les outils, les logiciels malveillants et les techniques associés ou utilisés par APT1.

Pour récupérer ces informations à partir de pyattck, vous pouvez spécifier le nom de l'acteur et récupérer toutes les informations concernant l'acteur lui-même et ses techniques :

from pyattck import Attck attack = Attck() for actor in attack.actors: if 'APT1' in actor.name: for technique in actor.techniques: print(technique.name)

Si vous souhaitez obtenir des suggestions de techniques d'atténuation, vous pouvez procéder comme suit :

from pyattck import Attck attack = Attck() for technique in attack.techniques: print(technique.name) for mitigation in technique.mitigation: print(mitigation.description)

Ce ne sont là que quelques exemples de la façon dont vous pouvez l'utiliser pyattck. Pour plus d'informations, veuillez consulter notre dépôt ou le documentation officielle. Et si vous avez des commentaires, n'hésitez pas à nous les faire parvenir. créer un ticket sur GitHub.

Apprécier!