To MITRE or not to MITRE - telle est la question
Bien que mature aujourd'hui, l'écosystème des EDR, et plus largement de la cybersécurité, est parfois encore mal appréhendé.
Aussi, si les enjeux des décideurs informatiques et des éditeurs peuvent parfois sembler antagonistes, chacun ayant son propre prisme d'interprétation et ses propres objectifs à atteindre, tous oeuvrent pourtant, à leur niveau, à l'élaboration de meilleures capacités de cybersécurité au sein des organisations.
Les premiers se demandent quels outils choisir afin de renforcer la sécurité et le niveau général de protection de l'entreprise et de ses actifs ? Les seconds cherchent à s'assurer que la solution qu'ils proposent tient pleinement ses promesses.
Lire aussi : La XRD peut-elle remplacer les SIEM dans les SOC ?
Les décideurs veulent être convaincus que la solution sera utilisée au mieux, ou être convaincus que leur partenaire sera à même d'assurer un service à forte valeur ajoutée par-dessus ?
Les éditeurs ont besoin d'inspirer confiance, et permettre aux décideurs ou aux prestataires de services informatiques de justifier leurs choix en termes de solutions.
Les entreprises ont besoin d'être éclairées objectivement au regard de leurs besoins, de la taille de leur structure, de leurs ressources, dans un marché de l'EDR nourri d'acronymes et d'arguments marketing éculés.
Les éditeurs de logiciels doivent sortir du lot dans un marché extrêmement concurrentiel ; et prouver sa valeur, surtout pour un nouvel entrant comme nous, est une nécessité.
Ici réside, à mon sens, l'intérêt des évaluations indépendantes tierces : répondre à la fois aux problématiques des décideurs informatiques et des éditeurs de solutions de sécurité, en accompagnant la prise de décision et en éclaircissant un écosystème particulièrement dense.
Et au-delà ce ces réponses, ces exercices vont permettre d'améliorer la résilience globale de tout un écosystème en matière de cybersécurité.
Le difficile positionnement des éditeurs d'EDR
Passer sous les fourches caudines des évaluations du MITRE, connues pour être techniquement complexes et avec une forte reconnaissance internationale, permet pour un éditeur comme nous d'adresser un certain nombre de ces questions.
Malgré l'investissement financier et humain que de telles évaluations représentent, exposer notre nom au MITRE 2023 est un jeu qui en vaut la chandelle, ne serait-ce que pour valoriser la confiance en ses technologies et en ses équipes !
Lire aussi : L'IA et l'IA générative devraient transformer la cybersécurité de la plupart des organisations
L'approche proposée par MITRE Engenuity permet d'évaluer objectivement les capacités de détection et de remédiation d'un outil, en se focalisant sur les capacités des EDR uniquement.
Ces évaluations permettent aux éditeurs de se confronter à la réalité des menaces cyber, et les résultats offrent des données tangibles aux décideurs informatiques pour les aider à argumenter et à s'équiper.
Choisir le bon EDR qui répond à la réalité des menaces et en qui avoir confiance, c'est essentiel. Le MITRE fait, en quelque sorte, office « de baccalauréat » dont la mention pourra être un critère de choix.
Et concrètement... comment se passe un test MITRE ?
Chaque année, les groupes d'attaquants utilisés dans la simulation changent : en 2023, il s'agissait de Turla, un groupe russophone connu pour ses campagnes d'espionnage massives et dont les méthodes et tactiques sont particulièrement sophistiquées.
Sachant cela, il reste à préparer l'évaluation, dont les méthodes ne sont quant à elles pas communiquées. L'évaluation dure 3 jours.
Les deux premiers jours se déroulent de la même manière : l'équipe Red Team du MITRE lance des tests dans son environnement de laboratoire durant environ quinze minutes, pendant lesquelles l'outil testé remonte des alertes et démontre ses capacités de détection.
A l'issue de la phase d'attaque, l'éditeur de l'EDR doit ensuite argumenter, revenir sur les évènements identifiés, ceux éventuellement manqués, et expliquer concrètement ce qui a été détecté. Cette étape dure environ neuf heures.
Le deuxième jour, le processus est identique si ce n'est le scénario d'attaque qui change. Ces tests, qui requièrent un vrai travail d'équipe et beaucoup de précision, sont tout à la fois grisants et fatigants. L'objectif est d'apporter les preuves de la détection des outils et des différentes techniques et tactiques d'attaque utilisées par Turla dans la simulation.
Le troisième jour permet enfin de rejouer les scénarios, d'affiner les règles de détection, et ainsi faire bénéficier à tous les clients de ces règles renforcées.
Créer sa propre méthode, l'exemple d'une application dédiée
Les capacités de détection d'un EDR moderne reposent sur des heuristiques ou règles qui sont constamment mises à jour, améliorées, affinées. Parce que l'objectif d'un EDR est de disposer de suffisamment de données pour reconnaître et anticiper un scénario d'attaque, les scénarios utilisés pour l'évaluation sont communiqués à l'avance aux participants.
Connaître l'identité de l'attaquant n'est pas un avantage déloyal, de la même manière, d'ailleurs, que chaque entreprise connaît son modèle de menaces, et sait quels types d'attaques seraient les plus susceptibles de les frapper.
Le fait de connaître le groupe de l'attaquant met l'équipe de Cyber Threat Intelligence face à une littérature très abondante sur ses pratiques, ses outils, et il est nécessaire d'identifier, dans cette matière, les sources pertinentes, en extraire les points saillants, les traduire en règles, tout en proposant des heuristiques de détections résilientes à l'évolution de la menace.
Dans notre cas, pour réussir à traiter cet amoncellement de données, il s'est révélé pertinent de créer une application pour tracer les outils utilisés par Turla, les techniques employées, celles qui seront testées, l'origine des règles créées...
Ces découvertes sont ensuite traduites en heuristiques qui ont le mérite d'être utiles tant pour l'évaluation MITRE que pour l'ensemble de nos clients de l'EDR a posteriori.
Alors, MITRE ou pas MITRE ?
Les résultats du MITRE sont positifs à bien des égards. Ils permettent aux éditeurs qui obtiennent de bons résultats de valider leurs capacités de détection aux yeux du marché, de positionner leur EDR au sein d'un écosystème, ou encore de rassurer les clients et les partenaires sur leur choix en termes d'outils.
Pour les décideurs informatiques qui cherchent à s'équiper d'outils performants, cette évaluation offre également un référentiel et un benchmark pertinent. Cette évaluation est aussi, et c'est selon moi l'un des points les plus tangibles, un moyen pour les éditeurs de renforcer leurs règles de détection et d'optimiser les capacités de leurs outils, ce qui bénéficie à leurs clients, et in fine, tire la qualité des EDR vers le haut.
Si le but ultime est d'accroître la qualité des EDR sur un marché hautement stratégique et sensible, alors je pense que le rôle de ces évaluations va bien au-delà de l'aspect marketing qu'on tend à leur reprocher, et qu'importe la manière dont chacun vantera ses propres résultats.
Les outils en sortent renforcés mais c'est aussi tout l'écosystème de la cybersécurité qui continue de se donner les moyens d'avoir un temps d'avance sur les acteurs de la menace, et de contribuer à la lutte contre le cybercrime.
En définitive, le MITRE est selon moi une excellente évaluation, adaptée à de nombreuses entreprises. Elle n'est toutefois pas la seule, et il n'y a jamais de meilleure manière de reconnaitre la qualité d'un EDR qu'en le testant directement, dans un environnement plus réaliste, au travers d'un POC.
Et se poser la question de quel EDR choisir, c'est déjà choisir de participer à l'amélioration de la sécurité de tous.
Pierre-Yves AMIOT, Chief Experience Officer - HarfangLab.
Sur le même thème
Voir tous les articles Cybersécurité