L’acronyme TTP désigne l’ensemble des Tactiques, Techniques et Procédures utilisées par des acteurs malveillants pour planifier, exécuter et affiner leurs attaques. TTP désigne donc le mode opératoire des ciberdelincuentes, c’est-à-dire l’ensemble des méthodes et démarches utilisées pour mener leurs attaques.
Ces composantes fournissent un cadre d’analyse permettant aux experts de comprendre la démarche des cyberattaquants, d’anticiper leurs actions et de mettre en œuvre des défenses adaptées
📌 Définition des composants TTP
- Tactiques : elles représentent l’objectif global de l’attaquant, comme le robo de datos sensibles ou la perturbation d’un système
- Técnicas : ce sont les méthodes spécifiques employées pour atteindre l’objectif tactique, telles que l’utilisation de malware ou l’exploitation de vulnerabilidades
- Procédures : elles désignent la séquence d’actions concrètes mises en œuvre pour exécuter une technique, détaillant les étapes précises de l’attaque
👉 Exemples de TTP courants
Hameçonnage (Phishing)
- Tácticas: obtenir des informations confidentielles
- Técnico: envoi d’e-mails trompeurs
- Procédure: création d’un faux site web, rédaction d’un e-mail convaincant, envoi massif aux victimes potentielles
Attaque par déni de service (DDoS)
- Tácticas : perturber le fonctionnement d’un système
- Técnico : inonder un serveur avec du trafic
- Procédure : utilisation d’un réseau de bots (red de bots), synchronisation de l’attaque, ciblage des points faibles de l’infrastructure
Exploitation de vulnérabilités
- Tácticas : prendre le contrôle d’un système
- Técnico : utilisation de failles logicielles connues
- Procédure : scan des systèmes pour détecter les vulnérabilités, développement d’un operación, exécution du code malveillant
Mouvement latéral
- Tácticas : étendre l’accès au sein d’un réseau compromis
- Técnico : manipulation de jetons d’accès
- Procédure : compromission d’un compte utilisateur, utilisation d’outils comme Mimikatz pour extraire les identifiants, pivot vers d’autres systèmes
La compréhension des TTP est cruciale pour les professionnels de la ciberseguridad, car elle permet de développer des défenses plus efficaces, d’améliorer la détection des intrusions et de mettre en place des contremesures ciblées contre les amenazas cibernéticas.
