Organisation financée par le gouvernement américain, le MITRE joue un rôle important dans le partage d’information sur les tactiques d’attaques déployées par les pirates informatiques. Son activité d’évaluation des solutions de sécurité, le MITRE Engenuity ATT&CK s’impose de plus en plus dans les critères de choix des entreprises.
Organisation financée par le gouvernement américain, la vocation du MITRE est avant tout d’éduquer sur les menaces cyber, de mener des recherches sur ces dernières et de mettre à disposition des données aux fournisseurs du marché. Ses experts ont notamment bâti le framework ATT&CK, soit « Attack et Common Knowledge », un cadre de référence des attaques connues. Depuis 2018, l’organisation délivre aussi des services d’évaluation des solutions de cybersécurité, le MITRE Engenuity ATT&CK, dans différents domaines : les EDR (Endpoint Detection & Response), les services managés, les systèmes industriels et enfin les services de Deception (leurrage des attaquants).
En quelques années, le framework ATT&CK est devenu la bible des éditeurs et constructeurs de solutions de sécurité afin de contrer les attaques des principaux groupes de pirates informatiques. L’évaluation des solutions de sécurité prend elle aussi une importance croissante dans le choix des solutions de sécurité.
Sébastien Baron, Sales Engineering Manager chez CrowdStrike France, souligne : « L’évaluation MITRE Engenuity ATT&CK est devenu une référence du marché, c’est une étude très sérieuse, avec des interlocuteurs très pointus, financée par le gouvernement fédéral américain. L’étude est de plus en plus regardée par les RSSI, elle est de plus en plus fréquemment intégrée aux RFI et RFP des entreprises. Elle pourrait être intégrée par les grands cabinets d’études à leurs critères d’évaluation, et nous le prenons très au sérieux. »
Cette évaluation permet aux équipes de sécurité des entreprises d’y voir un peu plus clair dans l’écosystème des solutions de sécurité, foisonnant. Ces tests, particulièrement pointus, permettent aussi aux entreprise de bien comprendre les stratégies des éditeurs/constructeurs et les points forts et points faibles d’offres qui sont de plus en plus commercialisées sous forme de plateformes Cloud complètes. Enfin, les travaux du MITRE constituent aussi un moyen de sensibiliser les équipes sur les scénarios de test.
Un enjeu important pour les éditeurs
L’évaluation du MITRE s’impose de plus en plus comme une référence sur le marché et les éditeurs consacrent de plus en plus de ressources pour passer les tests avec succès.
Pour CrowdStrike, l’enjeu était d’expliquer le positionnement spécifique de l’offre sur le marché des EDR/XDR : « Nous avons beaucoup échangé avec les ingénieurs du MITRE sur notre positionnement qui est très porté sur le côté opérationnel. En effet, nous souhaitons nous concentrer sur ce qui est le plus important pour nos clients : bloquer les brèches de sécurité. Détecter et protéger, c’est important, bien entendu, mais cela ne permet de traiter que 75 % ou 80 % du périmètre. Traiter les menaces connues, c’est une chose, mais pour se protéger d’une menace inconnue, il faut s’appuyer sur de la télémétrie, remonter des IOC (Indicateurs de Compromission), mais aussi les indicateurs de comportement et en tirer les bonnes conclusions et avoir les réactions adaptées. C’était notre différentiant par rapport aux autres éditeurs de cette évaluation 2022. »
Une trentaine d’éditeurs ont été évalués dans l’édition 2022. Les ingénieurs du MITRE ont choisi d’appliquer les tactiques d’attaque de 2 groupes russes en environnement simulé. Le premier, Wizard Spider, est un assaillant russe de type crapuleux. Il est connu pour ses attaques par le ransomware Ryuk, notamment contre des hôpitaux. Le second, Sandwork, (alias Voodoo Bear), est affilié au GRU russe. Ses motivations sont donc étatiques et il a été identifié pour des attaques menées avec NotPetya ou Industroyer. « Il ne s’agit pas d’une analyse compétitive dont il doit ressortir nécessairement un gagnant et des perdants comme c’est le cas des études délivrées par les cabinets d’analyse » souligne Sébastien Baron. « L’évaluation est basée sur une méthodologie commune qui décrit comment les solutions détectent, protègent et rapportent des attaques connues reproduites dans un environnement simulé. C’est un environnement idéal dans lequel il n’y a aucun bruit, où la volumétrie d’informations à traiter est plus limitée alors qu’en situation réelle ce sont des millions voire des milliards d’incidents qu’il faut être amené à traiter. »
La pertinence d’intégrer la protection des identités à une plateforme EDR
Parmi les 30 offres testées, CrowdStrike estime avoir obtenu d’excellents résultats, avec 100 % sur la partie prévention et 99 % sur les TTP (Tactics, Techniques and Procedures) : « 93 des TTP ont été bloquées avant même leur exécution sur cette partie relative au poste de travail et aux serveurs d’applications Windows et Linux » commente Sébastien Baron. « Nous avons corrigé les quelques manques qui sont apparus lors des tests car nous prenons très au sérieux ces évaluations pour faire évoluer nos technologies. »
« au-delà de la solution de détection et de protection, nous avons pu démontrer l’intérêt majeur de notre plateforme Falcon qui intègre la détection/protection, mais aussi d’autres modules pour améliorer la posture de sécurité » Sébastien Baron
Un point soulevé lors de l’évaluation de l’offre CrowdStrike a été le rôle déterminant de la brique de protection des identités qui est intégrée nativement à l’offre Falcon de l’éditeur. Ainsi, l’évaluation du MITRE avait recours à des mots de passe compromis afin de dérouler le scénario d’attaque. « Notre module de protection des identités a immédiatement détecté les comptes utilisateurs compromis sur lesquels s’appuyaient les scénarios d’attaque du MITRE. La protection des identités a immédiatement bloqué 100 % des scénarios d’attaque mis en œuvre lors de l’évaluation… Les ingénieurs du MITRE n’ont pu dérouler leurs scénarios d’évaluation, toutes leurs attaques étant bloquées en amont. Ils nous ont demandé de dégrader notre posture de sécurité, désactiver le module de protection des identifiants afin de pouvoir dérouler plus avant leurs scénarios d’attaque. Ce n’est bien évidemment pas une recommandation à suivre en production, mais il s’agissait aussi de creuser plus avant dans le côté informatif de l’étude. »
Evaluation strictement technique et objective, ce travail du MITRE vient compléter celui des analystes qui, outre le côté fonctionnel, intègrent généralement des données de marché et de stratégie à leurs évaluations.
Alain Clapaud
