Stratégie cyber

Evaluer les capacités d'un EDR avec MITRE ATT&CK

MITRE ATT&CK ne fournit pas seulement un framework pour évaluer les capacités de détection, la chasse aux menaces (hunting), la gestion des risques, la Threat Intelligence... Il fournit également une grille pour évaluer les outils de cybersécurité, et notamment les EDR.
5 min

Comment tirer parti de l’évaluation MITRE ATT&CK Engenuity pour valider la pertinence d'un EDR par rapport à vos besoins en termes de détection, d'analyse et de réponse aux menaces ? 

Voici comment vous appuyer sur MITRE ATT&CK Engenuity pour examiner l’EDR dont vous souhaitez vous équiper, afin de renforcer votre protection cyber. 

Quelles tactiques et techniques d'attaque l'EDR est-il capable de détecter ?  

MITRE ATT&CK permet d'évaluer la capacité d'un EDR à identifier un large éventail de techniques à différents stades d'une attaque, telles que :  

  • Armement (Reconnaissance, Développement des ressources, Accès initial, Exécution),
  • Persistance, Elévation des privilèges,  
  • Exploitation (Contournement des défenses, Accès aux identifiants),   
  • Installation (Découverte de l’environnement, Déplacement latéral),   
  • Collecte des données, Commande et contrôle, 
  • Exfiltration, Impact

... et leurs nombreuses sous-techniques.  

La mise en correspondance des capacités de détection d’un EDR avec le framework MITRE ATT&CK aide à s'assurer que la solution est en mesure de déclencher les alertes nécessaires, et sur quelles techniques d’attaque spécifiques.   

Comment l'EDR intègre-t-il la Threat Intelligence pour rester à jour ? 

L'EDR est-il capable d'intégrer des flux de données sur les menaces externes, incluant les données MITRE ATT&CK ? Propose-t-il des connecteurs dans cette optique ?  

C'est un aspect important à considérer pour améliorer la détection dans la durée, et suivre l’évolution de l'organisation et de son SI au fil du temps. C'est également nécessaire pour contextualiser correctement les alertes, et définir les priorités en cas d'incident de sécurité.   

Au-delà du framework MITRE ATT&CK, la capacité de l’EDR à intégrer de nouvelles tactiques ou techniques d’attaque est cruciale, car le paysage de la menace est en évolution perpétuelle. Rester à jour garantit ainsi une protection optimale du système d'information à long terme.  

En d'autres termes, MITRE ATT&CK est utile pour évaluer la capacité de détection d'un outil, mais la solution doit également impliquer en permanence de la R&D afin de rester à jour sur les menaces émergentes. 

Comment l'EDR affiche-t-il les rapports et les données ?  

L’EDR prévoit-il des fonctionnalités de reporting et de visualisation en référence à la grille MITRE ATT&CK ?   

Les rapports et les tableaux de bord qui suivent le framework MITRE ATT&CK aident à surveiller les tactiques et les techniques définies dans ce cadre.   

Ils permettent de prioriser les actions de protection contre des menaces spécifiques, et d'identifier celles qui présentent le plus de risques pour l'organisation.  

Dans cette perspective, plus l'accès aux données est facile et exhaustif, plus les événements de sécurité peuvent être contextualisés et hiérarchisés, et plus l'EDR est pertinent pour aider les analystes dans le cadre d’une levée de doute ou d'une investigation.  

Notamment, en cas d'attaque, il doit permettre de comprendre par où est passé l'attaquant. En outre, si les données peuvent être reliées au framework MITRE, elles sont également utiles pour comprendre le déroulement de l'attaque à travers ce cadre. 

LA priorité : permettre aux experts de déjouer plus facilement les attaques  

Le framework MITRE ATT&CK est utile à un large éventail d'acteurs de la cybersécurité, et l'évaluation MITRE ATT&CK Engenuity est un test de renommée internationale, qui fait office de référence pour les professionnels et les décideurs du secteur.   

L'évaluation d'une solution de cybersécurité à la lumière de cet outil permet de garantir des capacités avancées de détection.  

Toutefois, il faut garder à l'esprit que ce cadre permet d'effectuer des tests unitaires, et qu'une attaque sur le terrain peut être très différente.  

Concrètement, MITRE permet de tester la capacité d'un outil à détecter des techniques d'attaque, mais chaque technique peut être mise en œuvre de nombreuses façons différentes, et il est très difficile pour un outil d'empêcher absolument toutes les façons de mettre cette technique en œuvre.   

C'est pourquoi, plus que valider une liste de détection suivant un référentiel précis, le véritable enjeu est plutôt d'être en mesure de détecter tout comportement suspect afin d’agir en conséquence au plus vite.  

Par exemple, pour entrer par effraction dans une habitation, un cambrioleur peut forcer la porte (c'est sa technique), et il peut la forcer avec un pied de biche, en crochetant la serrure, avec un bélier... L’important est de détecter le comportement anormal ou l'intrusion le plus vite possible, peu importe l’accessoire utilisé. 

MITRE doit donc être considéré comme un moyen d'évaluer la capacité d'un outil à détecter correctement des techniques d'attaque (et une seule peut suffire) avec le bon niveau de criticité qui incitera à prendre des mesures pour contrer l'attaquant, et non comme une liste de cases à cocher.  

Il permet de faire une sélection d'outils sur lesquels passer du temps en vue de réaliser un POC. Lors de ce POC, vous pouvez tester l'EDR sur le terrain, dans votre propre contexte, et les analystes peuvent évaluer sa pertinence pour valider que la solution répond aux besoins de votre organisation.  

Key points to evaluate an EDR with MITRE


Pour aller plus loin sur l'évaluation et le framework MITRE ATT&CK,

et en savoir plus sur le déroulement des tests :