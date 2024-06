MITRE Engenuity™ a publié les résultats de la dernière série d’évaluations ATT&CK® pour les services managés, évaluant ainsi les capacités de 11 éditeurs à détecter, analyser et décrire avec précision le comportement des adversaires dans des scenarios réels.

Il s’agissait de la deuxième série d’évaluations ATT&CK pour les services managés, initialement lancée en 2022, pour aider les organisations à mieux comprendre comment des offres telles que Sophos MDR pouvaient les aider à se protéger contre les attaques sophistiquées multi-étapes.

Visionnez cette courte vidéo pour découvrir cette évaluation.

Quelle était la portée de ces évaluations ATT&CK ?

Les évaluations MITRE Engenuity ATT&CK sont conçues pour reproduire un exemple représentatif des attentes et besoins des organisations en matière d’interaction et d’implication avec un MSP (Managed Service Provider) lors d’une attaque sophistiquée.

L’équipe MITRE Engenuity simule les comportements des acteurs malveillants connus lors de l’évaluation. Une approche de type “black box” a été utilisée pour cette nouvelle série, dans laquelle MITRE n’a pas divulgué le ou les acteurs malveillants simulés ni la portée de la technique jusqu’à ce que l’évaluation ne soit terminée.

Cette évaluation a imité les tactiques et techniques utilisées par deux groupes malveillants connus, menuPass et ALPHV/BlackCat, et a évalué les capacités de chaque éditeur à détecter et signaler des activités spécifiques émanant des adversaires.

Au total, l’évaluation comprenait 172 activités provenant d’adversaires (sous-étapes) réparties au niveau de 15 étapes globales. Notez cependant que seules 43 des sous-étapes, celles que MITRE Engenuity considérait comme critiques pour le succès de la séquence d’attaque, ont été incluses dans les résultats.

L’évaluation s’est entièrement concentrée sur la détection et le reporting. La capacité à bloquer les menaces, à y répondre ou à y remédier n’a pas été évaluée. Il est donc essentiel de garder à l’esprit que les comportements des adversaires simulés dans cette évaluation peuvent avoir été bloqués par des technologies de protection (par exemple, des outils endpoint next-gen), que les éditeurs ont dû désactiver lors de l’évaluation.

Les participants à cette évaluation

Onze MSSP (Managed Security Service Providers) ont participé à ce cycle d’évaluation :

Bitdefender BlackBerry CrowdStrike Field Effect Microsoft Palo Alto Networks SecurityHQ Secureworks SentinelOne Sophos Trend Micro

Résultats de Sophos

Les résultats des évaluations MITRE ATT&CK peuvent être interprétés de plusieurs manières et MITRE Engenuity ne classe ni ne déclare aucun éditeur comme “gagnant” ou “leader”. Le service managé de chaque éditeur rapporte les informations différemment et les besoins et préférences de chaque entreprise sont tout aussi importants que les résultats eux-mêmes.

Sophos a “Signalé” (Reported) et décrit avec précision 84 % des 43 activités d’adversaires (sous-étapes) sélectionnées par MITRE Engenuity, un chiffre supérieur à la moyenne des autres éditeurs participants. La majorité (75 %) des détections de Sophos ont également été classées comme “Exploitables” (Actionable). “Signalé” (Reported) signifie que l’activité de l’adversaire a été identifiée avec succès et qu’un contexte suffisant a été fourni. De plus, là où les informations rapportées répondent également avec succès aux “5 W” (Who, What, When, Where, et Why / Qui, Quoi, Quand, Où et Pourquoi), l’activité a en outre été classée comme “Exploitable” (Actionable).

Les résultats incluent également le nombre d’emails d’alerte envoyés par chaque éditeur.

Pour garantir une réponse efficace, compréhensible et exploitable, Sophos MDR se concentre sur la fourniture de notifications, à forte valeur ajoutée, écrites par des opérateurs humains et contenant les informations critiques et le contexte que les clients doivent connaître.

Au cours de l’évaluation MITRE ATT&CK qui a duré 5 jours pour les services managés, Sophos MDR a envoyé 24 emails. La moyenne parmi les autres participants était de plus de 120 emails, certains éditeurs en ont envoyés plus de 300. La surproduction d’alertes (alert fatigue), provoquée par une quantité massive de notifications provenant de solutions de sécurité, constitue un problème majeur en matière de cybersécurité. Sophos comprend que le temps au sein de votre organisation est précieux et que lorsque les ressources sont limitées, la qualité est généralement meilleure que la quantité.

Comment utiliser les résultats des évaluations MITRE Engenuity ATT&CK ?

Les évaluations ATT&CK comptent parmi les tests de sécurité indépendants les plus respectés au monde, en grande partie grâce à la construction et à la simulation réfléchies de scénarios d’attaque réels, à la transparence des résultats et à la richesse des informations sur les participants.

Lorsque vous envisagez d’utiliser un service MDR (Managed Detection and Response), assurez-vous d’examiner les résultats des évaluations MITRE Engenuity ATT&CK ainsi que d’autres éléments de preuve tiers réputés, notamment des avis de clients vérifiés, et des évaluations d’analystes.

Lorsque vous examinez les données disponibles sur le portail d’évaluation de MITRE Engenuity, regardez au-delà des chiffres et tenez compte des éléments suivants, en gardant à l’esprit qu’il existe certaines questions sur les les MSS (Managed Security Services) auxquelles les évaluations ATT&CK ne pourront pas répondre. Par exemple :

Le service vous présente-t-il les informations comme vous le souhaitez, avec des communications à forte valeur ajoutée contenant les informations critiques que vous devez connaître ?

Le service considère-t-il que vous disposez d’une équipe interne d’opérations de sécurité, ou bien peut-il fournir un “SOC instantané” complet avec la capacité de prendre des mesures pour éliminer les menaces en votre nom ?

Qui fera appel au MSP (Managed Service Provider) au quotidien ? Les administrateurs IT, les analystes en sécurité expérimentés, ou bien peut-être les deux ?

Le service peut-il s’intégrer à d’autres technologies présentes au sein de votre environnement pour détecter et répondre aux menaces à plusieurs niveaux qui s’étendent au-delà des systèmes endpoint (par exemple, pare-feu, messagerie électronique, Cloud, systèmes de gestion des identités, réseau, sauvegarde et restauration, etc.) ?

Le service inclut-il une réponse complète aux incidents à distance et les services IR inclus sont-ils limités à un nombre d’heures fixe ou non plafonnés ?

Pourquoi Sophos participe aux évaluations MITRE Engenuity ATT&CK ?

Sophos s’engage à participer aux évaluations MITRE Engenuity ATT&CK aux côtés de certains des meilleurs éditeurs de sécurité du secteur. En tant que communauté, nous sommes unis contre un ennemi commun. Ces évaluations contribuent à nous rendre meilleurs, individuellement et collectivement, pour encore mieux protéger les organisations que nous accompagnons.

Notre participation à la dernière évaluation confirme encore une fois la position de Sophos en tant qu’éditeur leader du secteur en termes de service MDR (Managed Detection and Response) et partenaire de confiance en matière de cybersécurité auprès de plus de 22 000 clients.

Nul besoin de nous croire sur parole

Sophos Managed Detection and Response est la solution MDR la plus populaire au monde. Nous sécurisons plus d’entreprises que tout autre fournisseur MDR et nous avons une expérience vaste et solide au niveau de tous les secteurs et industries. Les récents éléments de preuve tiers incluent :

Pour en savoir plus sur le service Sophos MDR et découvrir comment il peut vous aider, visitez notre site Web ou bien contactez un expert en sécurité dès aujourd’hui.

Billet inspiré de MITRE Engenuity ATT&CK Evaluations for Managed Services (menuPass + ALPHV BlackCat), sur le Blog Sophos.