Des groupes d’acteurs menaçants comme Wizard Spider et Sandworm ont fait des ravages au cours des dernières années – développant et déployant des outils de cybercriminalité comme Conti, Trickbot et Ryuk ransomware. Plus récemment, Sandworm (soupçonné d’être une unité cyber-militaire russe) a lancé des cyberattaques contre des cibles d’infrastructure ukrainiennes.
Pour s’assurer que les fournisseurs de cybersécurité sont prêts au combat, MITRE Engenuity utilise des scénarios d’attaque et des tactiques du monde réel mis en œuvre par des groupes de menaces pour tester les capacités des fournisseurs de sécurité à se protéger contre les menaces – l’évaluation MITRE ATT&CK. Les détections et les capacités de chaque fournisseur sont évaluées dans le contexte du cadre MITRE ATT&CK.
Cette année, ils ont utilisé les tactiques vues dans Wizard Spider et Sandworm lors de leurs simulations d’évaluation. Et MITRE Engenuity n’a pas été facile avec ces fournisseurs participants. Comme mentionné précédemment, les enjeux sont trop importants et le risque augmente.
L’aperçu des résultats 2022
Pour y penser simplement, cette évaluation MITRE ATT&CK a mesuré les capacités de protection de 30 solutions de protection des terminaux. Deux mesures clés générées par les tests sont la détection globale et la protection globale.
Comme l’a expliqué un fournisseur participant, Cynet, dans un article de blog examinant les résultats, « la détection globale (ce que MITRE appelle « visibilité ») est le nombre total d’étapes d’attaque détectées dans les 109 sous-étapes. comme « Protection ») mesure à quel moment dans la séquence d’attaque la menace a été détectée afin que les étapes suivantes ne puissent pas s’exécuter. Les deux sont des mesures importantes et indiquent une solution de détection des terminaux performante. »
Le graphique ci-dessous montre les performances globales de détection et de protection des 2022 fournisseurs participants :
Et voici les résultats sous forme de tableau récapitulatif :
Comment ça fonctionne
MITRE ATT&CK utilise une approche unique, testant cette année 30 fournisseurs de sécurité pour leur capacité à se protéger contre les attaques qui se produisent actuellement dans la nature. Pour ce faire, ils soumettent ces fournisseurs à une simulation dans un environnement contrôlé, créant une évaluation impartiale de la plate-forme et des capacités de chaque fournisseur pour détecter et répondre aux menaces.
Les résultats de ces évaluations sont publiés à la fin de chaque mois de mars et sont destinés à être utilisés par les équipes de sécurité qui souhaitent renforcer leur programme de sécurité, ce qui implique souvent l’identification d’un fournisseur de cybersécurité. L’évaluation MITRE ATT&CK teste des fonctionnalités spécifiques à l’aide d’une méthodologie accessible au public et fournit une évaluation objective sans classer les performances de chaque fournisseur.
Il appartient au lecteur de décider de l’interprétation des résultats et de déterminer quel fournisseur a obtenu les meilleurs résultats. Et c’est là que les choses se compliquent.
Les résultats de l’évaluation MITRE ATT&CK sont censés être une ressource utile, et il incombe aux responsables de la sécurité et aux cadres d’apprendre à tirer parti de ces résultats. La difficulté est de comprendre ce que signifient ces résultats dans le contexte des performances des autres fournisseurs.
Webinaire sur les résultats de l’évaluation MITRE ATT&CK 2022
Comme de nombreux experts en sécurité vous le diront, interpréter ces données est plus facile à dire qu’à faire. Cynet, l’un des fournisseurs qui ont participé à l’évaluation de cette année, vise à clarifier la confusion. L’objectif est d’aider les organisations à la recherche d’un fournisseur de sécurité à utiliser ces résultats pour évaluer les capacités du fournisseur participant qui correspondent le mieux à leurs besoins.
Le CTO de Cynet, Aviad Hasnis, animera cette série de webinaires à partir du 7 avril 2022. Il expliquera comment vous pouvez utiliser les résultats de l’évaluation MITRE ATT&CK comme outil dans votre recherche d’un fournisseur de sécurité en plus de partager des détails spécifiques à Cynet. performance.