Publié le mois dernier par l’organisation à but non lucratif Mitre Corporation, D3FEND est un schéma dont l’ambition est d'établir un langage commun pour aider les cyberdéfenseurs à partager leurs stratégies et leurs méthodes. Il s'agit d'un projet complémentaire au framework ATT&CK de la société. Mais les deux projets restent néanmoins très différents. ATT&CK est une base de connaissances dotée d'un framework qui permet de classer les outils, les techniques et les méthodes utilisées par les adversaires pour pénétrer dans les réseaux. Alors que D3FEND est un graphe de connaissances capable d'analyser les déclarations des fournisseurs sur les mesures d'atténuation et autres contre-mesures.
Comme l’a expliqué Peter Kaloroumakis, créateur et cyberingénieur principal chez Mitre, qui travaille sur le schéma depuis plusieurs années, D3FEND combine les langages et les techniques de la bioinformatique et « établit une terminologie des techniques de défense des réseaux informatiques afin d’éclaircir les relations précédemment non spécifiées entre les méthodes défensives et offensives ». Comme mentionné dans le communiqué de presse, « D3FEND permet aux professionnels de la cybersécurité de personnaliser les défenses contre des cybermenaces spécifiques, réduisant ainsi la surface d'attaque potentielle d'un système ».
D3FEND est composé de trois éléments essentiels :
- Un graphe de connaissances qui résume les méthodes défensives. Ce graphe résulte de l’analyse, sur une période de 20 ans, des dépôts de cybersécurité dans la base de données des brevets américains. Il contient une liste de termes de vocabulaire ainsi que des taxonomies. Il couvre cinq tactiques générales utilisées pour classer chaque méthode défensive : durcir, détecter, isoler, tromper et évincer. Le graphe de connaissances renvoie à des exemples de code source pour illustrer chaque technique.
- Une série d'interfaces utilisateur pour accéder à ces données. Le graphe peut être téléchargé dans différents formats, notamment la sémantique OWL2 et les représentations RDF. Même si ces formats ne sont pas forcément familiers aux professionnels de la sécurité de l’information, il s'agit de langages courants utilisés dans le monde du web sémantique et de la modélisation des données.
- Une façon de mettre en correspondance ces mesures défensives avec le modèle d'ATT&CK.
« Notre espoir est que D3FEND clarifie les fonctionnalités spécifiques offertes par un produit et réduise le temps passé à analyser les documents marketing des fournisseurs », a expliqué M. Kaloroumakis. Contrairement à ATT&CK, le framework D3FEND ne cherche pas à être normatif. « Nous voulions établir un langage et un vocabulaire communs sur les méthodes défensives », a-il-ajouté. Autre différence : ATT&CK utilise les protocoles STIX et TAXII pour automatiser les interactions avec les outils logiciels de sécurité, alors que D3FEND est essentiellement un travail manuel, jusqu'à présent.
Genèse de Mitre D3FEND
D3FEND est le premier travail d’analyse complet de ces données, mais son assemblage n'a pas été sans difficultés. L'utilisation de la base de données des brevets comme source originale pour ce projet a été inspirant et frustrant à la fois. M. Kaloroumakis a eu l'idée de créer D3FEND quand il a eu besoin d’analyser des dépôts de brevets alors qu'il était directeur technique de l’entreprise de sécurité Bluvector.io, avant de rejoindre Mitre. « On trouve des divergences énormes dans les spécificités techniques mentionnées dans les brevets », a-t-il déclaré. « Certains brevets laissent peu de place à l’imagination, alors que d'autres sont plus génériques et plus difficiles à comprendre ». Il a été surpris par les milliers de dépôts de brevets qu'il a trouvés sur la cybersécurité. « Certains fournisseurs ont plus d'une centaine de dépôts », a-t-il déclaré, tout en précisant qu'il n'avait pas catalogué chaque brevet de cybersécurité de la collection. Il a plutôt utilisé la collection comme un moyen de parvenir à ses fins, créer les taxonomies et le graphe de connaissances du projet. Il a également tenu à souligner que le fait qu'une technologie ou une méthode de sécurité particulière soit mentionnée dans un dépôt de brevet ne signifie pas que cette méthode se retrouve dans le produit réel.
Examinons par exemple l’une des méthodes cataloguées dans le graphique : l'analyse des URL. Un analyste de la sécurité chercherait à déterminer si une URL est sans danger ou malveillante en analysant ses composants, le nom de domaine et le numéro de port utilisé, ainsi que le contexte de provenance de cette URL, comme un courriel ou un lien web. La méthode renvoie à un brevet original de Sophos et montre les différentes techniques d'ATT&CK comme les attaques par hameçonnage ciblé ou Spear Phishing et les attaques furtives de type « Drive-by ».
Prémices d’un écosystème Mitre D3FEND
L'effort de Mitre a été financé par la NSA et tout le monde peut l'adopter et l'étendre. Depuis l'annonce de D3FEND, au moins un projet open-source a déjà été mis sur pied, qui aide à traduire les méthodes dans les deux sens avec les méthodes ATT&CK à l'aide de scripts et de requêtes Python. Mitre pense que d'autres intégrations tierces auront bientôt lieu, au même titre que ATT&CK a créé son propre écosystème de fournisseurs d'outils. D3FEND n'est pas la seule initiative de ce type, mais il se veut plus complet. « Il semble qu’à ce jour, il n’y a jamais eu d'analyse publique complète du corpus de brevets en matière de cybersécurité dans le but de développer un graphe de connaissances des contre-mesures cyber », a encore expliqué M. Kaloroumakis.
Depuis plusieurs années, c’est le National Institute of Standards and Technology (NIST), l’agence du département du Commerce des États-Unis, qui est à l'origine de la matrice de cyberdéfense, qui est à la fois plus abstraite et plus spécifique. « Les bases de connaissances existantes en matière de cybersécurité n'expliquent pas avec suffisamment de fidélité et de structure ce que font ces contre-mesures pour répondre à ces besoins », a déclaré M. Kaloroumakis. Selon lui, ce travail consiste à séparer les mesures défensives de la mécanique, ou de savoir comment elles fonctionnent réellement. L'objectif est de déterminer si les fournisseurs utilisent différentes méthodes pour tenter de résoudre le même problème, comme la vérification d'un segment de code particulier (et potentiellement malveillant). Il pense que son projet aidera les responsables IT à trouver des chevauchements fonctionnels dans leurs portefeuilles actuels de produits de sécurité et à orienter tout changement dans leurs investissements dans un domaine fonctionnel particulier. Le projet pourra aussi les aider à prendre de meilleures décisions défensives pour protéger leur cyberinfrastructure.
Commentaire