phasin - stock.adobe.com
Ces quelques outils d’EDR qui s’apprêtent à passer l’examen
Le Mitre va évaluer plusieurs solutions de détection et de remédiation sur les postes de travail et les serveurs, en s’appuyant sur sa base de connaissance des méthodes des attaquants. Huit éditeurs ont décidé de jouer le jeu.
Carbon Black, CounterTack, CrowdStrike, Cylance, Endgame, Microsoft, RSA et SentinelOne vont laisser le Mitre confronter à la réalité leurs produits de détection et de remédiation sur les points de terminaison (EDR).
Le Mitre entend s’appuyer sur sa base de connaissance ATT&CK. Ouverte au public, elle fait un inventaire des tactiques et des techniques mises en œuvre par les attaquants, jusqu’aux plus avancés d’entre eux. Elle s’alimente auprès des travaux d’éditeurs, d’équipementiers, mais également d’institutions publiques et de chercheurs.
Les évaluations ne se feront pas en une seule fois. Le Mitre prévoit une première tournée basée sur une émulation du groupe APT3/Gothic Panda. Ce dernier s’intéresserait tout particulièrement aux secteurs de la défense, de l’aérospatiale, de la construction, ou encore de l’ingénierie. Ses activités sont documentées depuis 2012. En mai 2017, Recorded Future assurait que le ministère chinois de la sécurité nationale se cachait derrière ce groupe.
Lors de l’annonce de cette initiative, fin mars, le Mitre expliquait vouloir mettre en place une « évaluation impartiale » pour « aider les entreprises et l’industrie à prendre de meilleures décisions pour contrer les attaques ». Une initiative plutôt bien accueillie.
Carbon Black et CrowdStrike nous avaient rapidement exprimé leur intention de prendre part aux tests, de même que FireEye qui, étonnamment, n’est aujourd’hui pas mentionné par le Mitre. Mais on se souviendra que les tests de NSS Labs, dont les résultats ont été révélés plus tôt cette année, ne lui avaient été guère favorables.
Ce n’est en tout pas le seul acteur dont l’absence sera regrettée. Ainsi, Cisco, Cybereason, Symantec, ou encore Tanium ne semblent pas avoir manifesté d’intérêt pour l’exercice à ce stade. Et cela vaut également pour des spécialistes de la protection du point de terminaison (EPP) disposant d’une couche d’EDR tels que Bitdefender, Eset, F-Secure, Kaspersky, Malwarebytes, McAfee, Panda Security, ou encore Trend Micro, pour n’en mentionner que quelques-uns.
Le Mitre continue toutefois d’inviter les éditeurs volontaires à se manifester pour prendre part à l’exercice. Ses résultats devront être rendus publics au mois d’octobre. A ce moment-là, une seconde campagne de tests sera lancée, autour d’un « adversaire émulé différent ».
