EDR : le Mitre livre les résultats de son évaluation des capacités de détection

L’organisation a de nouveau confronté plusieurs solutions de détection et de remédiation sur les points de terminaison, à une émulation d’attaque cette fois-ci conduite par le groupe APT29, et produit des résultats très détaillés.

Comme promis début 2019, le Mitre a procédé à une évaluation de plusieurs solutions de détection et remédiation sur les hôtes de l’infrastructure (EDR) et vient d’en livrer les résultats.

Pour ce faire, l’organisation a confronté les solutions de Bitdefender, CrowdStrike, Cybereason, CyCraft, BlackBerry Cylance, Elastic (Endgame), F-Secure, FireEye, GoSecure, HanSight, Kaspersky, Malwarebytes, McAfee, Microsoft, Palo Alto Networks, ReaQta, Secureworks, SentinelOne, Symantec, Trend Micro, et Vmware Carbon Black. Cette liste s’avère bien plus longue que pour la première campagne d’évaluation, mais CounterTack et RSA n’y figurent pas.

Cette fois-ci, c’est une émulation du groupe APT29, aussi appelé Cozy Bear et Dukes, qui a été utilisée, en s’appuyant sur sa base de connaissance des techniques, tactiques et procédures d’attaquants, ATT&CK. Ce groupe est soupçonné d’être lié au renseignement russe et d’avoir participé à l’espionnage du parti démocrate américain. S’il a été retenu, c’est qu’il « constitue un bon choix pour notre prochaine émulation, parce que ce groupe est pertinent pour de nombreuses organisations et met au défi nos défenses collectives ». 

À nouveau, pour mettre à profit le travail réalisé par le Mitre, il faut en fait se plonger dans les matrices fournies pour chacune des solutions testées qui indiquent, sur chaque point testé, ce qui a été détecté ou pas, entre télémétrie, indicateur de compromission, comportement générique ou spécifique, changement de configuration, etc. L’ensemble s’avère granulaire et éclairant. Les résultats peuvent même être téléchargés au format JSON. De quoi permettre de les traiter à nouveau, suivant ses besoins propres. La méthodologie retenue par le Mitre est toujours publique. La configuration demandée pour les solutions testées l’est également.

Dans un billet de blog, le Mitre éclaire sur la manière d’examiner et de mettre à profit les résultats de ses évaluations. Et de souligner qu’il n’est pas question pour lui de classer les participants ni de désigner de « vainqueur ». Mais il propose son propre outil de comparaison.

F-Secure et SentinelOne n’ont pas manqué de souligner leur satisfaction à l’issue de ces évaluations. Le premier se dit ainsi « ravi de voir que les tests du MITRE confirment une fois de plus notre capacité à détecter les menaces avancées », quand le second met en avant les apports de son offre pour accélérer le travail des analystes : « sur les 3 jours de tests MITRE, SentinelOne a regroupé l’ensemble des détails via 11 alertes disponibles dans une console de gestion ».

L’appel à candidatures pour la prochaine vague d’évaluations est déjà lancé. Celle-ci s’appuiera, cette fois, sur une émulation des groupes Carbanak et Fin7. Et Mitre d’estimer que s’ils sont souvent considérés comme un seul et unique groupe, « le renseignement disponible indique qu’ils apparaissent constituer plusieurs groupes ».

Pour approfondir sur Protection du terminal et EDR

Close