MITRE 2024: quoi de neuf et est-ce important?

Les organisations de taille moyenne manquent souvent d’équipes de cybersécurité dédiées pour mener leurs propres tests approfondis, ce qui rend les évaluations rigoureuses de MITRE particulièrement précieuses. Elles fournissent des informations inestimables sur les performances des outils EDR.

Les entreprises peuvent comparer les produits EDR ayant obtenu de bonnes évaluations MITRE, en particulier pour leur capacité à détecter efficacement les menaces tout en minimisant les faux positifs. Cela représente un intérêt certain pour les organisations de taille moyenne. Bien que les évaluations de MITRE soient encore en évolution pour macOS et Linux, elles restent particulièrement utiles pour les entreprises basées sur Windows, qui constituent la majorité des organisations de taille intermédiaire.

Les MITRE ATT&CK Evaluations: Enterprise de 2024 ont introduit plusieurs changements attendus de longue date, les distinguant des années précédentes. Elles commencent ainsi à refléter des attaques dans des environnements réels plutôt que dans des laboratoires à "zero bruit":
 

1. L’inclusion de macOS, qui reconnaît la diversité croissante des systèmes d’exploitation dans les environnements d’entreprise. Cet ajout élargit la pertinence des évaluations de MITRE, les rendant applicables aux organisations opérant sur plusieurs plateformes. 
    

2. Une nouvelle approche des faux positifs. Une partie significative des techniques d’attaque individuelles incluses dans les scénarios sont désormais conçues comme des faux positifs, ce qui signifie qu’une détection efficace devrait idéalement ignorer ces événements bénins. Cet ajustement rapproche l’évaluation des conditions réelles, où le filtrage des alertes inutiles est essentiel pour maintenir un système de sécurité efficace et réactif. 
    

3. L’élimination de la télémétrie. Lors des évaluations précédentes, des points étaient attribués lorsqu’un système capturait des données pertinentes sans déclencher une alerte. En supprimant la télémétrie des critères de notation, MITRE se concentre désormais sur des détections immédiates et exploitables. Ce changement élimine enfin la valorisation de dizaines de milliers d’événements destinés à un threat hunting manuel comme preuve d’efficacité d’un outil EDR. 
   
   

4. Simplification du processus de collecte des preuves. Auparavant, les participants devaient suivre des sessions d’examen approfondies pour chaque étape de l’évaluation. Désormais, l’équipe de MITRE offre une présentation plus rapide des scénarios, réduisant considérablement le temps nécessaire pour le retour d’information et permettant aux participants d’évaluer leur performance plus efficacement.
    

5. Regroupement des tests de protection. Les années précédentes, les entreprises pouvaient choisir de participer uniquement aux tests de détection ou de protection. Désormais, elles sont automatiquement inscrites aux deux, sauf en cas de désinscription explicite. Le test de détection simule un scénario de menace persistante avancée (Advanced Persistent Threat - APT) avec diverses étapes d’attaque, tandis que le test de protection se concentre sur les attaques et s’arrête dès qu’une menace est bloquée. Cependant, ce test de protection ne vise pas à remplacer des évaluations indépendantes plus établies, comme celles d’AV-TEST ou AV-Comparatives.

Certains experts du secteur critiquent les évaluations de MITRE, les jugeant irréalistes, car la densité élevée des attaques simulées est bien plus intense que ce que la plupart des organisations rencontrent au quotidien.

Cependant, ces évaluations sont conçues comme des “stress tests” (tests de résistance) plutôt que comme des répliques exactes des conditions quotidiennes.

« L’évaluation de MITRE ne reflète pas exactement les types de détections nécessaires pour une réponse efficace, mais elle met l’accent sur des informations détaillées et complètes, allant bien au-delà des besoins des intervenants. En ce sens, je considère MITRE comme un stress test globalement efficace et ambitieux. En fin de compte, MITRE reste réactif, le test fonctionne, et le processus est relativement équitable, » souligne Lamarca.

Ces normes élevées sont précieuses car elles poussent les fournisseurs à créer des alertes précises et peu bruyantes. Cela aide les défenseurs à comprendre rapidement le contexte et la chronologie d’une attaque sans être submergés par des informations inutiles. 

« En tant que spécialiste de la sécurité au sein d’une petite équipe, je chercherais un équilibre entre la technologie EDR et l’établissement d’un partenariat efficace avec un fournisseur de services MDR. Je voudrais avoir la certitude que mes demandes et suggestions sont prises en compte efficacement. Mon choix serait donc éclairé à la fois par le score MITRE et par la réactivité de mon partenaire en cybersécurité, pour m’assurer d’avoir une vue d’ensemble cohérente de mon portefeuille, » conclut Lamarca.