En lisant divers rapports sur la sécurité de l’information, blogs, et tweets, je vois souvent l’acronyme « TTP » utilisé pour décrire une myriade de choses (comme les tests, les outils, les processus, les programmes, etc) liées à la sécurité de l’information. Bien que TTP soit un acronyme couramment utilisé, il n’a souvent pas la signification originale : Tactiques, Techniques et Procédures. Dans ce post, je vais discuter de mon interprétation des TTP (basée sur la doctrine du Département de la Défense) et expliquer pourquoi je pense que c’est la façon dont vous devriez utiliser les TTP!
TTP selon la Joint Publication 1-02
Les tactiques, techniques et procédures sont des termes spécifiques qui proviennent du Département de la Défense et sont utilisés depuis de nombreuses années pour décrire les opérations militaires. Joint Publication 1-02, Department of Defense Dictionary of Military and Associated Terms définit spécifiquement les tactiques, techniques et procédures :
Tactique – L’emploi et la disposition ordonnée des forces les unes par rapport aux autres.
Techniques – Moyens ou méthodes non prescriptifs utilisés pour exécuter des missions, des fonctions ou des tâches.
Procédures – Étapes standard et détaillées qui prescrivent la façon d’exécuter des tâches spécifiques.
Maintenant que nous avons les définitions « officielles », que signifient-elles réellement ? J’aime à les considérer comme une hiérarchie de spécificité, allant du plus large (Tactique) au plus spécifique (Procédures). Afin d’aider à clarifier ce qu’elles signifient réellement dans la pratique, je vais passer en revue et expliquer plus en détail la signification de chaque terme. En outre, j’utiliserai la métaphore de la « propriété d’une voiture » pour aider à décrire chacun de ces termes.
Tactiques
Les tactiques sont des considérations de haut niveau avec des informations spécifiques limitées dictant comment les choses doivent être faites. Normalement utilisées à des fins de planification et/ou de suivi, il n’y a pas de directives ou d’instructions spécifiques, juste des conseils généraux utiles pour des considérations de haut niveau afin de s’assurer que tout ce qui est nécessaire est réalisé dans le cadre d’un ensemble plus grand.
Pour utiliser l’analogie de la propriété d’une voiture, il y a de nombreuses « Tactiques » impliquées dans la propriété d’une voiture, comme la fourniture de carburant, le nettoyage et l’entretien préventif. Chacun de ces éléments peut être considéré comme une « tactique » liée à la possession d’une voiture. Aux fins de cet exemple, nous nous concentrerons sur la » maintenance préventive » comme tactique choisie dans laquelle nous allons plonger en profondeur.
Techniques
Les techniques forment la zone grise entre la perspective de haut niveau des tactiques et les détails très spécifiques des procédures (que nous abordons ensuite). Elles consistent en des actions que l’on s’attend à voir accomplies, mais sans directives spécifiques (c’est-à-dire non prescriptives) sur la façon d’accomplir cette action. Cela permet généralement d’identifier les tâches qui doivent être accomplies, mais sans microgestion de la façon d’accomplir la tâche.
Pour poursuivre l’analogie avec la voiture, si la tactique choisie est « l’entretien préventif », il y aurait de nombreuses techniques différentes qui pourraient être employées pour accomplir cette tactique, comme le changement d’huile, la rotation des pneus, le remplacement des freins, etc. Ces techniques décrivent les tâches générales qui doivent être accomplies, mais ne fournissent pas d’instructions spécifiques sur la manière de les accomplir. Nous choisirons « changer l’huile » comme la technique qui nous intéresse et que nous utiliserons pour discuter des procédures.
Procédures
Les procédures sont des instructions et/ou des directions spécifiques détaillées pour accomplir une tâche. Les procédures comprennent toutes les étapes nécessaires impliquées pour l’exécution d’une tâche spécifiée, mais sans aucune considération de haut niveau ou le contexte de la raison pour laquelle la tâche est exécutée. La priorité pour les procédures est d’assurer des instructions détaillées complètes afin qu’une tâche puisse être correctement réalisée par toute personne qualifiée pour suivre les instructions.
Pour compléter notre analogie avec la voiture, les procédures pour mettre en œuvre la technique de « changement d’huile » seraient spécifiques à la voiture entretenue. Elles comprendraient toutes les informations sur la fréquence de la vidange, le type d’huile, le type de filtre, l’emplacement du bouchon de vidange, les outils nécessaires, etc. Les procédures devraient être telles que n’importe qui (enfin, presque n’importe qui) serait capable d’effectuer la tâche décrite en utilisant ces directives.
Présenter les Tactiques, Techniques et Procédures sous forme de hiérarchie peut aider à visualiser les relations entre elles. Pour accomplir les Tactiques souhaitées, il sera nécessaire d’utiliser une ou plusieurs Techniques. Pour réaliser les techniques souhaitées, il faudra suivre une ou plusieurs procédures. Ce qui différencie les acteurs de la menace » avancée » des autres est leur capacité à mettre en œuvre de nouvelles Techniques ou des Procédures sophistiquées qui ne peuvent pas être facilement reproduites par d’autres, bien que leurs Tactiques soient largement les mêmes que les autres.
Comment cela se rapporte-t-il à la » cyber » ?
Bien que le TTP ait été utilisé pour décrire la guerre conventionnelle, il peut également être très utile pour décrire la cybersécurité. Heureusement, la matrice MITRE ATT&CK est déjà disposée d’une manière qui utilise cette structure et fournit une excellente source unique pour les TTP basés sur la sécurité.
Les en-têtes de colonne représentent les diverses Tactiques de haut niveau (surlignées en rouge) qu’un attaquant utilise dans le cadre du cycle de cyberattaque. Les entrées individuelles de la matrice sous les tactiques représentent les techniques (surlignées en vert). Comme nous l’avons vu précédemment, de nombreuses techniques sont répertoriées pour chaque tactique. Lorsque vous cliquez sur une technique, vous accédez à une page contenant des détails supplémentaires sur cette technique, notamment des exemples d’utilisation réelle par des acteurs malveillants. Ces exemples représentent les procédures utilisées et fournissent une analyse détaillée des actions exactes effectuées et des ressources utilisées. Les procédures peuvent également être considérées comme les hachages spécifiques ou les outils et lignes de commande exacts utilisés pour une activité malveillante spécifique. MITRE ATT&CK fournit une ventilation des TTP facilement accessible concernant la sécurité informatique.
Par exemple, lorsqu’un attaquant a besoin d’accéder à des ordinateurs ou à des ressources sur le réseau qui ne sont pas sur son pied initial, il doit mettre en œuvre la tactique du mouvement latéral. Une technique populaire consiste à utiliser les partages administratifs intégrés de Windows, C$ et ADMIN$, comme répertoire accessible en écriture sur l’ordinateur distant. Une procédure pour mettre en œuvre cette technique pourrait consister à utiliser l’outil PsExec de SysInternals, qui crée un binaire pour exécuter une commande, le copie dans un partage administratif Windows et démarre un service à partir de ce partage. Le blocage de l’outil SysInternals PsExec ne supprimera pas complètement le risque de la technique Windows Admin Shares ; un attaquant peut simplement utiliser une autre procédure, comme net use ou la cmdlet PowerShell Invoke-PsExec. La compréhension de la spécificité de l’attaque et des contre-mesures défensives est cruciale lors de l’évaluation de l’efficacité des contrôles de sécurité.
Pourquoi cela est-il important ?
À part essayer de clarifier l’utilisation de « TTP », pourquoi tout ce vieux jargon militaire a-t-il de l’importance dans un monde moderne géré par ordinateur ? Le fait est que cette approche de la compréhension des activités malveillantes fera de vous un meilleur attaquant ou défenseur. Être capable de décomposer des attaques compliquées en TTP aidera à rendre la détection ou la réplication des attaques beaucoup plus facile à comprendre.
Une compréhension des différentes Tactiques impliquées dans la sécurité de l’information aidera à planifier tous les domaines de déficience dans votre expérience personnelle de l’environnement de l’entreprise et peut concentrer l’effort là où vous pouvez actuellement manquer de connaissances/couverture. Par exemple, la mentalité « Assumez la violation » est une reconnaissance qu’une cybersécurité efficace doit reconnaître les autres tactiques utilisées par les attaquants, au lieu de se concentrer entièrement sur la prévention de la compromission initiale. Cette perspective de haut niveau permettra d’éviter un oubli dans une partie du programme de sécurité.
Comprendre la différence entre Techniques et Procédures est également incroyablement important. De nombreux outils de sécurité réseau et de renseignements sur les menaces se concentrent sur les procédures spécifiques utilisées par un acteur (telles que les hachages d’outils, les noms de fichiers et les domaines/IP C2) plutôt que sur la technique globale utilisée. Il arrive que la communauté de la sécurité qualifie quelque chose de nouvelle technique, alors qu’il faudrait plutôt parler d’une nouvelle procédure pour une technique existante. Connaître la technique sous-jacente et être capable d’adapter des procédures spécifiques fera de vous un meilleur opérateur, quel que soit le rôle que vous remplissez.
Comme le dit le vieil adage « Donnez un poisson à un homme, et vous le nourrissez pour un jour. Apprenez à un homme à pêcher, et vous le nourrissez pour toute une vie. » Lorsqu’on envisage la défense du réseau, donner un poisson revient à se concentrer sur des indicateurs fragiles issus des procédures des attaquants (comme les hachages et les IP spécifiques). Cela peut répondre temporairement à vos besoins, mais son efficacité sera de courte durée. Apprendre à pêcher, c’est se concentrer sur la Technique utilisée, comprendre la technologie et les comportements liés à une attaque, et créer des contre-mesures résilientes qui fonctionneront même lorsque l’attaquant s’adaptera ou créera de nouvelles Procédures.
J’espère que ce post a été utile pour clarifier la différence entre les Tactiques, les Techniques et les Procédures, ainsi que pour souligner l’avantage de comprendre chaque terme.