Comment interpréter les résultats de l’évaluation de MITRE ATT&CK pour 2023 ?

2023 MITRE ATT&CK Evaluation : Principales conclusions

Des tests rigoureux et indépendants constituent une ressource vitale pour analyser les capacités des fournisseurs à se prémunir contre les menaces de plus en plus sophistiquées qui pèsent sur leur organisation. Et aucune évaluation n’est peut-être plus fiable que l’évaluation annuelle MITRE Engenuity ATT&CK.

Ce test est essentiel pour évaluer les fournisseurs, car il est pratiquement impossible d’évaluer les fournisseurs de cybersécurité sur la base de leurs propres déclarations de performance.

L’évaluation ATT&CK de MITRE est réalisée par MITRE Engenuity et teste les solutions de protection des points finaux contre une séquence d’attaque simulée basée sur des approches réelles adoptées par des groupes de menaces persistantes avancées (APT) bien connus. L’évaluation 2023 MITRE ATT&CK Evaluation a testé 31 solutions de fournisseurs en émulant les séquences d’attaque de Turla, un groupe de menace sophistiqué basé en Russie connu pour avoir infecté des victimes dans plus de 45 pays.

Une mise en garde importante…

Une mise en garde importante est que MITRE ne classe pas ou ne note pas les résultats des fournisseurs. Au lieu de cela, les données brutes des tests sont publiées avec quelques outils de comparaison en ligne de base.

« Quel fournisseur de solutions de sécurité convient le mieux à votre organisation ? »

« Ce qui, si vous ne savez pas ce qu’il faut rechercher, peut s’avérer fastidieux si vous êtes déjà frustré d’essayer d’évaluer quel fournisseur de sécurité est le mieux adapté à votre organisation. »

« Dans ce cas, identifier le « meilleur » fournisseur est subjectif. »

« Examinons les résultats eux-mêmes pour comparer et opposer les performances des fournisseurs participants à celles de Turla. »

Les tableaux suivants présentent l’analyse et le calcul par Cynet des résultats de tous les tests MITRE ATT&CK des fournisseurs pour les mesures les plus importantes : Visibilité globale, Précision de la détection et Performance globale. Il existe de nombreuses autres façons d’examiner les résultats MITRE, mais nous considérons que ceux-ci sont les plus révélateurs de la capacité d’une solution à détecter les menaces.

La visibilité globale est le nombre total d’étapes d’attaque détectées sur l’ensemble des 143 sous-étapes. Cynet définit la qualité de la détection comme le pourcentage de sous-étapes d’attaque comprenant des  » détections analytiques – celles qui identifient la tactique (pourquoi une activité peut se produire) ou la technique (à la fois pourquoi et comment la technique se produit) « .

En outre, il est important d’examiner les performances de chaque solution avant que le fournisseur n’ajuste les paramètres de configuration parce qu’il n’a pas détecté une menace. MITRE autorise les fournisseurs à reconfigurer leurs systèmes pour tenter de détecter les menaces qu’ils ont manquées ou pour améliorer les informations qu’ils fournissent pour la détection. Dans « le monde réel », nous n’avons pas le luxe de reconfigurer nos systèmes en raison d’une détection manquée ou médiocre », de sorte que la mesure la plus réaliste est celle des détections avant que les changements de configuration ne soient mis en œuvre.