Des tests approfondis et indépendants constituent une ressource vitale pour analyser les capacités des fournisseurs à se prémunir contre des menaces de plus en plus sophistiquées contre leur organisation. Et peut-être qu’aucune évaluation n’est plus fiable que l’évaluation annuelle MITRE Engenuity ATT&CK.

Ces tests sont essentiels pour évaluer les fournisseurs, car il est pratiquement impossible d’évaluer les fournisseurs de cybersécurité sur la base de leurs propres performances. Outre les vérifications des références des fournisseurs et les évaluations de preuve de valeur (POV) – un essai en direct – les résultats de MITRE ajoutent des informations objectives supplémentaires pour évaluer de manière globale les fournisseurs de cybersécurité.

Plongeons dans les résultats de l’évaluation MITRE ATT&CK 2023. Dans ce blog, nous présenterons la méthodologie de MITRE pour tester les fournisseurs de sécurité contre les menaces du monde réel, proposerons notre interprétation des résultats et identifierons les principaux points à retenir de l’évaluation de Cynet.

Comment MITRE Engenuity teste-t-il les fournisseurs pendant l’évaluation ?

L’évaluation MITRE ATT&CK est réalisée par MITRE Engenuity et teste les solutions de protection des points finaux par rapport à une séquence d’attaque simulée basée sur des approches réelles adoptées par des groupes de menaces persistantes avancées (APT) bien connus. L’évaluation MITRE ATT&CK 2023 a testé 31 solutions de fournisseurs en émulant les séquences d’attaque de Turla, un groupe de menace sophistiqué basé en Russie connu pour avoir infecté des victimes dans plus de 45 pays.

Une mise en garde importante est que MITRE ne classe ni ne note les résultats des fournisseurs. Au lieu de cela, les données brutes des tests sont publiées avec certains outils de comparaison en ligne de base. Les acheteurs utilisent ensuite ces données pour évaluer les fournisseurs en fonction des priorités et des besoins uniques de leur organisation. Les interprétations des résultats par les fournisseurs participants ne sont que cela : leurs interprétations.

Alors, comment interprétez-vous les résultats ?

C’est une excellente question que beaucoup de gens se posent en ce moment. Les résultats de l’évaluation MITRE ATT&CK ne sont pas présentés dans un format que beaucoup d’entre nous sont habitués à digérer (en vous regardant, graphique magique avec quadrants).

Et les chercheurs indépendants déclarent souvent « gagnants » pour alléger la charge cognitive consistant à déterminer quels fournisseurs sont les plus performants. Dans ce cas, l’identification du « meilleur » fournisseur est subjective. Ce qui, si vous ne savez pas quoi rechercher, peut sembler compliqué si vous êtes déjà frustré d’essayer d’évaluer quel fournisseur de sécurité est le mieux adapté à votre organisation.

Une fois ces clauses de non-responsabilité émises, examinons maintenant les résultats eux-mêmes pour comparer les performances des fournisseurs participants par rapport à Turla.

Résumé des résultats de MITRE ATT&CK

Les tableaux suivants présentent l’analyse et le calcul de Cynet de tous les résultats des tests MITRE ATT&CK des fournisseurs pour les mesures les plus importantes : visibilité globale, précision de détection et performances globales. Il existe de nombreuses autres façons d’examiner les résultats de MITRE, mais nous considérons qu’elles sont les plus révélatrices de la capacité d’une solution à détecter les menaces.

La visibilité globale correspond au nombre total d’étapes d’attaque détectées dans les 143 sous-étapes. Cynet définit la qualité de détection comme le pourcentage de sous-étapes d’attaque comprenant des « détections analytiques – celles qui identifient la tactique (pourquoi une activité peut se produire) ou la technique (pourquoi et comment la technique se produit).

De plus, il est important d’examiner les performances de chaque solution avant que le fournisseur n’ajuste les paramètres de configuration en raison de l’absence d’une menace. MITRE permet aux fournisseurs de reconfigurer leurs systèmes pour tenter de détecter les menaces qu’ils ont manquées ou d’améliorer les informations qu’ils fournissent pour la détection. Dans le monde réel, nous n’avons pas le luxe de reconfigurer nos systèmes en raison d’une détection manquée ou médiocre. La mesure la plus réaliste consiste donc à détecter avant que les modifications de configuration ne soient mises en œuvre.

Comment va Cynet ?

Sur la base de l’analyse de Cynet, notre équipe est fière de nos performances par rapport à Turla lors de l’évaluation MITRE ATT&CK de cette année, surpassant la majorité des fournisseurs dans plusieurs domaines clés. Voici nos principaux points à retenir :

  • Cynet a fourni une détection à 100 % : (19 étapes d’attaque sur 19) sans aucun changement de configuration.
  • Cynet a fourni une visibilité à 100 % : (143 sur 143 sous-étapes d’attaque) sans aucun changement de configuration
  • Cynet a fourni une couverture analytique à 100 % : (143 détections sur 143) sans aucun changement de configuration.
  • Cynet a fourni des détections 100 % en temps réel : (0 retard sur les 143 détections)

Consultez l’analyse complète des performances de Cynet dans l’évaluation MITRE ATT&CK 2023.

Examinons un peu plus en profondeur l’analyse de Cynet sur certains des résultats.

Cynet s’est montré très performant lors de l’évaluation de la visibilité et de la qualité de détection. Cette analyse illustre l’efficacité d’une solution dans la détection des menaces et fournit le contexte nécessaire pour rendre les détections exploitables. Les détections manquées sont une invitation à une violation, tandis que les détections de mauvaise qualité créent un travail inutile pour les analystes de sécurité ou peuvent entraîner l’ignorance de l’alerte, ce qui, encore une fois, est une invitation à une violation.

Évaluation MITRE ATT&CK

Cynet a fourni une visibilité à 100 % et a parfaitement détecté chacune des 143 étapes d’attaque sans aucune modification de configuration. Le graphique suivant montre le pourcentage de détections dans les 143 sous-étapes d’attaque avant que les fournisseurs n’implémentent les modifications de configuration. Cynet s’est comporté aussi bien que deux très grandes sociétés de sécurité bien connues, bien qu’elles ne soient qu’une fraction de leur taille et bien meilleures que certains des plus grands noms de la cybersécurité.

Évaluation MITRE ATT&CK

Cynet a fourni une couverture analytique de 100 % des 143 étapes d’attaque sans aucune modification de configuration. Le graphique suivant montre le pourcentage de détections contenant des informations tactiques ou techniques importantes au cours des 143 sous-étapes de l’attaque, encore une fois avant la mise en œuvre des modifications de configuration. Cynet a aussi bien performé que Palo Alto Networks, une société cotée en bourse de 76 milliards de dollars avec 50 fois plus d’employés et bien mieux que de nombreuses marques établies et cotées en bourse.

Évaluation MITRE ATT&CK

Vous avez encore des questions ?

Compréhensible.

Dans ce webinaire, Aviad Hasnis, CTO de Cynet, et Tom Field, vice-président éditorial de l’ISMG, examinent les résultats récemment publiés et partagent des conseils d’experts permettant aux responsables de la cybersécurité d’interpréter les résultats afin de trouver le fournisseur qui correspond le mieux aux besoins spécifiques de leur organisation. Il partagera également plus de détails sur les performances de Cynet lors des tests et comment cela pourrait se traduire par les objectifs uniques de votre équipe.

A lire également