ParticuliersEntreprisesPartenaires
Enterprise Security Managed Detection and Response
12 min de lecture

Principales conclusions des évaluations MITRE ATT&CK® 2024 for Managed Services

Martin Zugec

Juin 18, 2024

Principales conclusions des évaluations MITRE ATT&CK® 2024 for Managed Services

Alors que les cyberattaques gagnent en volume et en sophistication, et que le fossé des compétences en matière de cybersécurité se creuse, de nombreuses organisations se tournent vers les services de gestion de la détection et de la réponse (Managed Detection and Response - MDR). Mais trouver le bon fournisseur de MDR peut s'avérer un véritable défi. Comment savoir s'il est en mesure de faire face aux cybermenaces sophistiquées actuelles ? C'est là qu'interviennent les évaluations de MITRE, qui aident les organisations à faire des choix plus judicieux en fournissant des informations précieuses sur les services managés de onze fournisseurs différents. Lisez la suite de cet article pour découvrir les facteurs clés qui peuvent vous aider à prendre la meilleure décision pour vos besoins en cybersécurité.

Les évaluations MITRE ATT&CK® for Managed Services

Cette année, les évaluations MITRE Engenuity ATT&CK® ont eu recours à des attaques multiples pour évaluer chaque fournisseur participant. La première imitait les tactiques et techniques d'attaque du groupe cybercriminel menuPass. Ce groupe est connu pour s'attaquer à diverses industries dans le monde entier, en se concentrant sur le vol d'informations sensibles telles que la propriété intellectuelle. Les attaques sont connues pour exploiter des techniques de survie pour éviter d'être détectées et pour exploiter les relations avec des tiers afin de voler des informations d'identification.

La seconde utilisait le ransomware BlackCat écrit en langage RUST. Le ransomware est agnostique en matière de système d'exploitation, capable de cibler les systèmes Windows et Linux dans de nombreux secteurs d'activité. BlackCat est conçu pour perturber les défenses des systèmes, chiffrer les données et entraver les processus de récupération. Ces deux scénarios illustrent bien les types d'attaques qui visent les entreprises modernes.

Les résultats

Bien que nous soyons fiers d'avoir obtenu d’excellents résultats dans les évaluations MDR de MITRE, une seule note ne suffit pas à rendre compte de l'ensemble de la situation. Ces évaluations sont précieuses parce qu'elles examinent une série de paramètres interconnectés, fournissant une image plus nuancée des capacités des fournisseurs. Toutefois, il est important de considérer les données dans leur contexte, car certains fournisseurs peuvent choisir de se concentrer sur des paramètres spécifiques, à leur avantage.

Ici, nous allons décortiquer les paramètres clés de notre évaluation MITRE for Managed Services et expliquer ce qu'ils signifient pour vous. Nous explorerons également certains aspects qualitatifs, tels que le type de reporting, qui peuvent être récoltés dans les communications des fournisseurs fournies par MITRE. Cette approche vous aidera à comprendre comment nos performances répondent à vos besoins spécifiques en matière de sécurité.

 FIG. 1 : Le tableau montre les résultats pour tous les fournisseurs dans les catégories évaluées.

La capacité de tout voir

L'évaluation de MITRE porte sur le service MDR des fournisseurs à travers une série de 43 sous-étapes, représentant les différents stades des tactiques et techniques des attaquants. Trois niveaux clés sont mesurés pour chaque sous-étape :

1.    Visibilité : Il s'agit de déterminer si la solution du fournisseur peut collecter suffisamment de données pour identifier qu'une sous-étape particulière s'est produite. Il s'agit essentiellement d'un test de la capacité de la plateforme à voir l'activité de l'attaquant.

·       Couverture à 100% :  Nous avons obtenu une note parfaite en matière de visibilité, ce qui indique que notre solution peut collecter efficacement des données pour identifier les 43 sous-étapes des tactiques et techniques de l'attaquant. Il s'agit là d'un résultat remarquable, qui démontre la capacité de notre plateforme à « voir » l'activité des attaquants sur l'ensemble du spectre d'évaluation.

2.    Signalé (non exploitable) : Ici, l'évaluation va au-delà de la simple détection de l'activité. Elle vérifie si le fournisseur peut non seulement identifier la sous-étape, mais aussi la signaler. Toutefois, ce rapport peut manquer de détails spécifiques ou de contexte, ce qui rend difficile la prise de mesures immédiates.

·       Couverture à 95% : Notre score est également impressionnant, puisqu'il dépasse la moyenne de 80 % de couverture. Cela signifie que notre solution peut non seulement identifier la plupart des sous-étapes (41 sur 43), mais aussi les signaler. Bien que ces rapports puissent manquer de détails spécifiques, ils mettent en évidence notre force dans la détection des activités suspectes.

3.    Signalé (exploitable) : C'est le scénario idéal. Non seulement le fournisseur détecte et signale la sous-étape, mais il fournit également des informations supplémentaires telles que les horodatages, les lieux, les utilisateurs impliqués et la nature de l'activité. Ce contexte plus riche permet une réponse plus informée et plus efficace.

·       Couverture à 93% : Nous sommes fiers d'annoncer que nous avons obtenu le score le plus élevé dans la catégorie « signalé – utilisable » par rapport à la moyenne de 65 %. Ce score indique notre capacité exceptionnelle à non seulement détecter et signaler les sous-étapes, mais aussi à fournir le contexte le plus précieux, y compris les horodatages, les emplacements, les utilisateurs impliqués et la nature de l'activité. Cela permet à votre équipe de sécurité de prendre des mesures rapides et décisives pour atténuer les menaces.

Après avoir établi une base solide pour la détection de l'activité des attaquants, examinons maintenant l'efficacité avec laquelle nous traduisons la détection en action. C'est là que le temps moyen de détection (Mean Time to Detect - MTTD) entre en jeu.

Une réponse rapide, des décisions éclairées

Le temps moyen de détection (MTTD) mesure le temps moyen nécessaire à un fournisseur de services de sécurité pour identifier et alerter d'une activité potentielle d'un attaquant. Un MTTD inférieur indique généralement des capacités de détection et de réponse plus rapides. Le MTTD moyen de Bitdefender est de 24 minutes, ce qui est nettement plus rapide que le temps de réponse moyen de 42 minutes sur l’ensemble des fournisseurs.

Notre objectif est de trouver un équilibre entre la détection rapide et la réduction des « bruits » inutiles. Nous donnons la priorité à la diffusion d'alertes fiables qui fournissent des informations exploitables, permettant ainsi à votre équipe de sécurité de répondre efficacement aux menaces réelles. Il est important de considérer le MTTD en conjonction avec d'autres mesures, en particulier le volume d'alertes générées - ou le bruit.

Minimiser le bruit pour une efficacité maximale

Un aspect essentiel de tous service MDR est sa capacité à faire la distinction entre les menaces réelles et les bruits parasites. Les équipes de sécurité sont souvent bombardées par un nombre écrasant d'alertes, ce qui les empêche de se concentrer sur les problèmes les plus critiques.

Lors de ces évaluations MITRE, l'équipe MDR de Bitdefender a donné la priorité à un équilibre entre la réduction du bruit et le maintien d'une grande fidélité des alertes. Alors que certains fournisseurs ont généré des volumes d'alertes de plusieurs centaines, voire milliers, Bitdefender MDR a produit un nombre d'alertes nettement inférieur à la moyenne de l'industrie (130 emails et 389 alertes dans la console).

Voici ce que cela signifie pour vous :

  • Réduction de la fatigue liée aux alertes : Notre solution permet aux équipes de sécurité d'éviter la surcharge d'informations en présentant un volume réduit d'alertes (54 emails et 28 alertes dans la console). Cela leur permet de concentrer leur attention sur les menaces les plus importantes.
  • Priorité aux événements à haute gravité : L'accent mis sur la fidélité garantit qu'une grande partie de nos alertes (77 % des emails) sont classées comme critiques ou de haute gravité, ce qui permet aux équipes de sécurité de donner la priorité aux menaces les plus importantes.
  • Informations exploitables : La quantité n'est pas synonyme de qualité. Nous donnons la priorité à la fourniture d'informations claires et concises pour chaque alerte, ce qui permet aux équipes de sécurité de prendre des mesures décisives pour atténuer les menaces identifiées.

Conclusion

L'évaluation MITRE MDR met en évidence les points forts de l’offre de service Bitdefender MDR : une détection exceptionnelle des menaces, des informations exploitables (la plus élevée parmi les participants pour la catégorie « signalé-exploitable ») et un engagement à minimiser la fatigue liée aux alertes. Cela se traduit par une solution puissante qui permet aux équipes de sécurité de se concentrer sur ce qui compte le plus : répondre efficacement aux menaces réelles et assurer la sécurité des organisations.

 FIG. 2 Bitdefender MDR a obtenu le score en « exploitation de l’information » le plus élevé tout en réduisant le bruit au minimum.

Vous voulez en savoir plus ? Plongez plus profondément dans ces résultats avec les experts eux-mêmes ! Rejoignez notre prochain webinaire avec les analystes SOC et les chercheurs en sécurité de Bitdefender, le mercredi 26 juin à 17h (CEST). Ils décortiqueront les évaluations MITRE MDR, discuteront de nos résultats en détail et répondront à toutes les questions que vous vous posez sur notre approche du MDR. Il s'agit d'une plongée technique (et non d'un événement « marketing ») et d'une chance d'apprendre directement des premières lignes de la détection et de la réponse aux menaces.

tags

Enterprise Security Managed Detection and Response

Auteur

Martin Zugec

Martin Zugec

Martin is technical solutions director at Bitdefender. He is a passionate blogger and speaker, focusing on enterprise IT for over two decades. He loves travel, lived in Europe, Middle East and now residing in Florida.

Voir toutes les publications

Actualités Les + populaires

FOLLOW US ON SOCIAL MEDIA

SUBSCRIBE TO OUR NEWSLETTER

Don’t miss out on exclusive content and exciting announcements!

Vous pourriez également aimer

Nouveautés de la plateforme GravityZone - Août 2024 (v 6.53)
Enterprise Security

Nouveautés de la plateforme GravityZone - Août 2024 (v 6.53)
Grzegorz Nocoń

Août 12, 2024

Notre stratégie de mise à jour logicielle
Enterprise Security

Notre stratégie de mise à jour logicielle
Martin Zugec

Juillet 22, 2024

Les Jeux olympiques : une cible privilégiée de la cybercriminalité
Enterprise Security

Les Jeux olympiques : une cible privilégiée de la cybercriminalité
Richard De La Torre

Juillet 16, 2024

Marque-pages

loader