MITRE n’est pas seulement une entreprise qui compare les solutions de sécurité. C’est aussi une organisation à but non lucratif dont la mission est de créer un monde plus sûr. Toute personne connaissant le monde de la cybersécurité sait qu’elle est surtout connue pour sa base de données sur les vulnérabilités et expositions communes (CVE – Common Vulnerabilities and Exposures). Il y a quelque temps, l’entreprise a fait un pas de plus et a créé la matrice des menaces MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge – Connaissances communes, techniques et tactiques antagonistes).
Qu’est-ce que MITRE ATT&CK?
MITRE ATT&CK est substantiellement une base de connaissances ouverte qui inclut les techniques utilisées dans les attaques ciblées de différents acteurs. Les données sont présentées sous forme de matrice, et montrent comment les attaquants entrent dans les infrastructures d’entreprise et s’y installent, quelles astuces ils utilisent pour passer inaperçus, etc. Il s’agit d’une matrice des menaces au niveau de l’entreprise, mais MITRE travaille également sur des matrices couvrant les tactiques utilisées par les cybercriminels pour les cyberattaques qui s’en prennent aux appareils mobiles et aux systèmes de contrôle industriels.
Cependant, MITRE ATT&CK ne se contente pas de collecter des informations juste par soif de connaissance. La matrice est destinée à simplifier la construction de modèles de menaces pour différentes industries et, plus important encore, elle peut être utilisée pour déterminer quelles menaces connues peuvent être détectées par une solution spécifique, ou une combinaison de solutions. En théorie, le procédé est le suivant : une entreprise à la recherche d’une solution pour protéger son infrastructure fait correspondre les capacités de chaque candidat avec la matrice ATT&CK et voit quelles menaces subsistent. C’est un peu comme une partie de loto. En pratique, pour comprendre quelles menaces un produit de sécurité en particulier identifie, MITRE effectue des tests connus sous le nom d’évaluations ATT&CK.
Les évaluations ATT&CK et leur fonctionnement
Les chercheurs de MITRE choisissent un acteur APT connu et, sur une période de plusieurs jours, émulent des attaques dans l’environnement de test dont ils évaluent la solution, mais ils n’exécutent pas des répliques identiques d’attaques passées, bien entendu. Au lieu de cela, ils modifient les outils d’attaque individuels pour découvrir comment la solution détecte les différentes techniques adverses pendant les phases d’une attaque. Les mécanismes de réponse sont désactivés pendant l’évaluation (sinon, certaines phases seraient impossibles à tester).
Le cycle actuel de test est appelé évaluation APT29. Au cours de cette évaluation, les chercheurs ont émulé les efforts du groupe APT29, également connu sous les noms de CozyDuke, Cozy Bear, et The Dukes. Voici un article détaillé sur les évaluations ATT&CK
Les produits testés et les résultats
Le dernier cycle a testé notre solution Kaspersky Endpoint Detection and Response et le service Kaspersky Managed Protection. Vous pouvez voir les paramètres spécifiques dans cet article.
Notre solution a démontré un haut niveau de détection des techniques clés aux étapes cruciales des attaques ciblées modernes, en particulier, dans les phases d’exécution, de persistance, d’escalade des privilèges et de mouvement latéral. Pour voir les résultats détaillés de l’évaluation et d’autres documents sur ATT&CK, consultez l’espace MITRE ATT&CK de notre site.