{"id":307974,"date":"2023-11-05T17:54:10","date_gmt":"2023-11-06T01:54:10","guid":{"rendered":"https:\/\/www.paloaltonetworks.com\/blog\/?p=307974"},"modified":"2023-11-19T22:39:36","modified_gmt":"2023-11-20T06:39:36","slug":"mitre-engenuity-attck-evaluations-results","status":"publish","type":"post","link":"https:\/\/www2.paloaltonetworks.com\/blog\/2023\/11\/mitre-engenuity-attck-evaluations-results\/?lang=fr","title":{"rendered":"SEUL Cortex signe le doubl\u00e9 100 % de protection et 100 % de d\u00e9tection dans l\u2019\u00e9valuation MITRE Engenuity 2023"},"content":{"rendered":"

Les r\u00e9sultats de l\u2019\u00e9valuation MITRE\u00a0Engenuity\u00a0ATT&CK\u00a02023 viennent d\u2019\u00eatre publi\u00e9s et le verdict est sans appel\u00a0: seul Cortex\u00a0XDR affiche un 100\u00a0% en protection et un 100\u00a0% en d\u00e9tection analytique, sans aucun retard ni changement de configuration.<\/h3>\n

La cinqui\u00e8me \u00e9dition de l\u2019\u00e9valuation MITRE\u00a0Engenuity\u00a0ATT&CK est close et les r\u00e9sultats sont tomb\u00e9s\u00a0: si tous les fournisseurs ont trop souvent tendance \u00e0 s\u2019autocongratuler en revendiquant une note globale de 100\u00a0%, les chiffres, eux, ne mentent jamais. Ainsi, cette ann\u00e9e, Cortex est le seul fournisseur \u00e0 afficher un 100\u00a0% en pr\u00e9vention et un 100\u00a0% en d\u00e9tection analytique.<\/p>\n

\"R\u00e9sultats<\/span><\/div>
Capture d\u2019\u00e9cran du site de MITRE\u00a0Engenuity\u00a0ATT&CK<\/a> affichant les r\u00e9sultats de l\u2019\u00e9valuation Turla\u00a02023 pour le sc\u00e9nario de d\u00e9tection.<\/figcaption><\/figure>\n

Dans un secteur aussi mouvant que celui de la cybers\u00e9curit\u00e9, il devient absolument vital de devancer des adversaires qui redoublent d\u2019inventivit\u00e9 pour contourner les d\u00e9fenses. C\u2019est un jeu extr\u00eamement risqu\u00e9 dont les r\u00e8gles changent en permanence et dont les cons\u00e9quences, pour les perdants, peuvent \u00eatre d\u00e9vastatrices.<\/p>\n

Pour d\u00e9ployer des cyberd\u00e9fenses efficaces et y voir plus clair dans la palette des solutions disponibles, MITRE\u00a0Engenuity a mis au point son programme d\u2019\u00e9valuations ATT&CK. Ces tests grandeur nature constituent une ressource indispensable pour les RSSI, les professionnels de la s\u00e9curit\u00e9 et tout autre acteur \u0153uvrant pour la protection des assets num\u00e9riques d\u2019une entreprise. Elles \u00e9tablissent un point de r\u00e9f\u00e9rence indiscutable sur la performance des solutions de s\u00e9curit\u00e9 des terminaux face \u00e0 des cybermalfaiteurs disposant de tr\u00e8s gros moyens techniques, humains et financiers.<\/p>\n

Mais en quoi consistent les \u00e9valuations MITRE\u00a0Engenuity\u00a0ATT&CK et pourquoi leurs r\u00e9sultats ont-ils une telle importance\u00a0? Men\u00e9e une fois par an, cette \u00e9valuation \u00e9mule, c\u2019est-\u00e0-dire reproduit \u00e0 l\u2019identique, les modes op\u00e9ratoires des groupes d\u2019attaque les plus actifs et les plus en vue actuellement. L\u2019\u00e9quipe Red Team de MITRE\u00a0Engenuity invite les fournisseurs de solutions de cybers\u00e9curit\u00e9 \u00e0 se mesurer \u00e0 des attaques minutieusement orchestr\u00e9es (dans le cadre d\u2019un sc\u00e9nario de d\u00e9tection d\u2019abord, puis de pr\u00e9vention ensuite). L\u2019objectif\u00a0? D\u00e9terminer leur efficacit\u00e9 dans trois domaines cl\u00e9s\u00a0:<\/p>\n

    \n
  1. Visibilit\u00e9<\/strong>\u00a0: quelles actions la solution permet-elle de voir\u00a0?<\/li>\n
  2. D\u00e9tection<\/strong>\u00a0: quelles actions la solution identifie-t-elle correctement comme malveillantes\u00a0?<\/li>\n
  3. Protection<\/strong>\u00a0: quelles actions malveillantes la solution permet-elle de pr\u00e9venir\u00a0?<\/li>\n<\/ol>\n

    Chaque ann\u00e9e, un nombre impressionnant de fournisseurs (29 en 2023) participe \u00e0 ces \u00e9valuations, preuve s\u2019il en faut de leur importance et des efforts consid\u00e9rables que MITRE\u00a0Engenuity d\u00e9ploie pour proposer des \u00e9preuves toujours plus compl\u00e8tes et exigeantes.<\/p>\n

    <\/a>5e\u00a0\u00e9dition (Turla)<\/h2>\n

    Cette ann\u00e9e marque la cinqui\u00e8me \u00e9dition de cette \u00e9valuation lors de laquelle la Red Team de MITRE\u00a0Engenuity a entrepris de reproduire fid\u00e8lement les techniques de\u00a0Turla<\/a>, un groupe de cybercriminels russes\u00a0surveill\u00e9 de pr\u00e8s par nos chercheurs d\u2019Unit\u00a042<\/a>\u00a0et qui se distingue par ses modes op\u00e9ratoires et ses moyens financiers particuli\u00e8rement d\u00e9velopp\u00e9s. \u00c0 ce jour, Turla est l\u2019auteur de compromissions av\u00e9r\u00e9es dans plus de 45\u00a0pays. Administrations gouvernementales, groupes militaro-industriels, missions diplomatiques, instituts de recherche, m\u00e9dias\u2026 Turla cible des entit\u00e9s \u00e9minemment strat\u00e9giques. Parmi ses m\u00e9thodes et outils tristement c\u00e9l\u00e8bres pour l\u2019exfiltration furtive de donn\u00e9es\u00a0: des attaques par point d\u2019eau (watering hole) de sites Internet gouvernementaux, des rootkits personnalis\u00e9s, des infrastructures r\u00e9seau\u00a0CnC \u00e9labor\u00e9es et des techniques de leurre. Selon les retours d\u2019exp\u00e9rience des participants \u00e0 l\u2019\u00e9valuation de cette ann\u00e9e, MITRE\u00a0Engenuity a clairement \u00e9lev\u00e9 la barre en termes de sophistication des attaques reproduites.<\/p>\n

    Pour y faire face, l\u2019\u00e9quipe Blue Team de Palo\u00a0Alto\u00a0Networks a d\u00e9ploy\u00e9 Cortex\u00a0XDR\u00a0Pro pour les agents de terminaux sur les syst\u00e8mes Windows et Linux. Aucune autre solution n\u2019a \u00e9t\u00e9 utilis\u00e9e et Cortex\u00a0XDR a \u00e9t\u00e9 configur\u00e9 selon les param\u00e8tres par d\u00e9faut du produit, avec pour seule diff\u00e9rence la possibilit\u00e9 de mettre en quarantaine les fichiers malveillants et, pour Linux, la possibilit\u00e9 de traiter le grayware comme du malware.<\/p>\n

    <\/a>Principaux crit\u00e8res d\u2019\u00e9valuation et m\u00e9triques<\/h2>\n

    L\u2019\u00e9dition de cette ann\u00e9e s\u2019est d\u2019abord divis\u00e9e en deux sc\u00e9narios de d\u00e9tection uniquement, appel\u00e9s Carbon et Snake et correspondant \u00e0 des outils notoirement cr\u00e9\u00e9s et utilis\u00e9s par Turla. Le sc\u00e9nario de protection s\u2019est d\u00e9roul\u00e9 dans un second temps, mettant en miroir les techniques des tests de d\u00e9tection, avec cependant suffisamment d\u2019entropie pour ne pas para\u00eetre identique aux \u00e9preuves de d\u00e9tection. Chacun des sc\u00e9narios de d\u00e9tection comprenait 10\u00a0\u00e9tapes, elles-m\u00eames subdivis\u00e9es en de multiples sous-\u00e9tapes correspondant \u00e0 des techniques r\u00e9elles r\u00e9pertori\u00e9es dans le framework MITRE\u00a0ATT&CK. En tout, chaque fournisseur avait la possibilit\u00e9 de d\u00e9tecter 143\u00a0sous-\u00e9tapes. Le travail de l\u2019\u00e9quipe MITRE\u00a0Engenuity consistait \u00e0 compter le nombre de sous-\u00e9tapes d\u00e9tect\u00e9es par chaque solution.<\/p>\n

    Chacune de ces d\u00e9tections a ensuite \u00e9t\u00e9 \u00e9valu\u00e9e au regard de leur qualit\u00e9, puis r\u00e9pertori\u00e9e dans l\u2019une des cat\u00e9gories ci-dessous.<\/p>\n

    Cat\u00e9gories de d\u00e9tections de MITRE\u00a0Engenuity\u00a0:<\/p>\n