Go to content

Les kill chains, tout le monde en parle… mais personne n’en fait (2/3 – A propos des bases de connaissances)

Scoop : la kill chain n’existe pas !

Dans le premier volet de la saga on a démontré que la kill chain est une succession d’actions qui provoquent des effets, dans le but d’aller à un état final à partir d’un état initial.

Pour construire les kill chains il ne reste plus qu’à enchaîner des actions les unes après les autres… dès lors que les conditions le permettent. Toutes ces attaques unitaires existent déjà dans des bases de connaissances : il ne reste qu’à les ordonner !

CONIX_Kill_Chain_2

A propos des bases de connaissances

Pas de miracles : les bases de connaissance américaines présentent une maturité hors du commun. On tentera d’ordonner et d’associer, pour arriver à nos fins :

  • La base CPE (Common Platform Enumeration), maintenue par le NIST, un catalogue structuré des systèmes, logiciels et progiciels
  • La base CVE (Common Vulnerabilities and Exposures), un catalogue des informations publiques relatives aux vulnérabilités
  • La base CWE (Common Weakness Enumeration), maintenue par le MITRE, un catalogue de vulnérabilités que l’on peut rencontrer dans les logiciels
  • La base CAPEC (Common Attack Pattern Enumerations and Classifications), maintenue par le MITRE, un dictionnaire complet des modèles d’attaque connus utilisés pour exploiter les vulnérabilités connues

Une particularité de ces bases de connaissance : elles sont liées entre elles. C’est notamment ce qui fait leur force, notamment dans l’optique de les utiliser de manière méthodique pour construire des kill chains.

La grammaire, le chaînon manquant

Pour utiliser ces bases de connaissances, on va définir ce qui relève de caractéristiques propres des composants du système (CPE, CVE) et ce qui relève des actions possibles en fonction de ces caractéristiques (CWE, CAPEC).

Le tour est joué ! Nous avons construit un modèle permettant d’identifier le champ des possibles en fonction d’un état du système, le tout alimenté par des bases de connaissances réputées complètes et maintenues à jour !

Et ensuite ?

Retrouvez ces approches dans le support de présentation joint, où elles sont identifiées et explicitées. Le dernier volet de la saga « Les kill chains, tout le monde en parle… mais personne n’en fait » parlera, lui, de méthode.