4min

Évaluer les capacités d'un EDR avec MITRE ATT&CK

MITRE ATT&CK ne fournit pas seulement un framework pour évaluer les capacités de détection, la chasse aux menaces (hunting), la gestion des risques, la Threat Intelligence... Il fournit également une grille pour évaluer les outils de cybersécurité, et notamment les EDR.
Cybersecurity Platform MITRE Evaluations

Comment tirer parti de l’évaluation MITRE ATT&CK pour valider la pertinence d'un EDR par rapport à vos besoins en termes de détection, d'analyse et de réponse aux menaces ?  

Voici comment vous appuyer sur MITRE ATT&CK pour examiner l’EDR dont vous souhaitez vous équiper afin de renforcer votre protection cyber.  
 

Quelles tactiques et techniques d'attaque l'EDR est-il capable de détecter ?   

MITRE ATT&CK permet d'évaluer la capacité d'un EDR à identifier un large éventail de techniques à différents stades d'une attaque, telles que :   

  • Armement  
  • Persistance, Elévation des privilèges
  • Exploitation  
  • Installation 
  • Collecte des données, Commande et contrôle
  • Exfiltration, Impact

... et leurs nombreuses sous-techniques.   

La mise en correspondance des capacités de détection d’un EDR avec le framework MITRE ATT&CK aide à s'assurer que la solution est en mesure de déclencher les alertes nécessaires, et sur quelles techniques d’attaque spécifiques.    
 

Comment l'EDR intègre-t-il la Threat Intelligence pour rester à jour ?  

L'EDR est-il capable d'intégrer des flux de données sur les menaces externes, incluant les données MITRE ATT&CK ? Propose-t-il des connecteurs dans cette optique ? Est-il capable d’intégrer de nouvelles tactiques ou techniques d’attaque ? 

Ce sont des aspects importants à considérer pour améliorer la détection dans la durée, et suivre l’évolution de l'organisation et de son SI au fil du temps. C'est également nécessaire pour contextualiser correctement les alertes, et définir les priorités en cas d'incident de sécurité.


Comment l'EDR affiche-t-il les rapports et les données ?   

Les rapports et les tableaux de bord qui suivent le framework MITRE ATT&CK aident à surveiller les tactiques et les techniques définies dans ce cadre.    

Ils permettent de prioriser les actions de protection contre des menaces spécifiques, et d'identifier celles qui présentent le plus de risques pour l'organisation.   

Dans cette perspective, plus l'accès aux données est facile et exhaustif, plus les événements de sécurité peuvent être contextualisés et hiérarchisés, et plus l'EDR est pertinent pour aider les analystes dans le cadre d’une levée de doute ou d'une investigation.   


LA priorité : permettre aux experts de déjouer plus facilement les attaques   

Le framework MITRE ATT&CK est utile à un large éventail d'acteurs de la cybersécurité, et l'évaluation MITRE ATT&CK est un test de renommée internationale, qui fait office de référence pour les professionnels et les décideurs du secteur.    

Il permet de tester la capacité d'un outil à détecter des techniques d'attaque, mais chaque technique peut être mise en œuvre de nombreuses façons différentes, et il est très difficile pour un outil d'empêcher absolument toutes les façons de mettre cette technique en œuvre.    

C'est pourquoi, plus que valider une liste de détection suivant un référentiel précis, le véritable enjeu est plutôt d'être en mesure de détecter tout comportement suspect afin d’agir en conséquence au plus vite.   

Par exemple, pour entrer par effraction dans une habitation, un cambrioleur peut forcer la porte (c'est sa technique), et il peut la forcer avec un pied de biche, en crochetant la serrure, avec un bélier... L’important est de détecter le comportement anormal ou l'intrusion le plus vite possible, peu importe l’accessoire utilisé.  

MITRE doit donc être considéré comme un moyen d'évaluer la capacité d'un outil à détecter correctement des techniques d'attaque (et une seule peut suffire) avec le bon niveau de criticité qui incitera à prendre des mesures pour contrer l'attaquant, et non comme une liste de cases à cocher.   

Il permet de faire une sélection d'outils sur lesquels passer du temps en vue de réaliser un POC. Lors de ce POC, vous pouvez tester l'EDR sur le terrain, dans votre propre contexte, et les analystes peuvent évaluer sa pertinence pour valider que la solution répond aux besoins de votre organisation.   


Pour aller plus loin sur l'évaluation d'un EDR avec MITRE ATT&CK :


Télécharger l'e-book

Plus d'articles

Cybersecurity Platform

Antoine Trillard : "La maturité cyber des collectivités a évolué"

A l’occasion du coTer numérique qui s'est déroulé les 4 et 5 juin 2024 à la Rochelle, Antoine Trillard, Président…

En savoir plus
7min
Stratégie cyber
Cybersecurity Platform

Antonin Garcia, RSSI : "Face aux cybermenaces, l'EDR est essentiel."

Choix stratégiques, budget, recrutement : Antonin Garcia, RSSI chez Veepee, partage avec nous sa vision de la cybersécurité.

En savoir plus
7min
Stratégie cyber
Cybersecurity - French Local Authorities Study

Collectivités territoriales : 37% déjà victimes d’une attaque

Plus du tiers des collectivités interrogées a déjà subi une attaque cyber, et pourtant, 60% des collectivités de moins de…

En savoir plus
9min
Stratégie cyber
Cybersecurity Platform

Les défis cyber 2024

Quel est le plus gros challenge pour 2024 et comment le relever ? Nous avons posé la question à une…

En savoir plus
1min
Stratégie cyber