Suroop Chandran

Comprendre le framework et les évaluations MITRE ATT&CK – partie 2

Capture Client offre des fonctionnalités mises en évidence par le framework ATT&CK. Voici comment les RSSI peuvent tirer parti de ces fonctionnalités pour définir et mettre en œuvre leur stratégie de sécurité.

By

(Remarque : dans la partie 1, nous avons expliqué ce qu’était le framework MITRE ATT&CK et comment les produits de sécurité sont évalués par rapport à l’efficacité et l’efficience de la détection. Lisez l’article ici si vous ne l’avez pas déjà fait.)

Avec l’augmentation globale des attaques, il n’a jamais été aussi important de vous assurer que votre stratégie de sécurité est à jour. S’y retrouver parmi les différentes stratégies de fournisseurs en cybersécurité peut cependant s’avérer très complexe pour les RSSI. Comment savoir si vous en aurez pour votre argent ? Voici quelques conseils essentiels :

  • Méfiez-vous des ratés, retards et changements de configuration excessifs : les fournisseurs qui accusent beaucoup de retards se distinguent par des détections utilisant des moyens qui généralement ne font pas partie du workflow normal de l’outil, ce qui signifie que vos équipes devront faire de même. Les fournisseurs avec beaucoup de changements de configuration ont ressenti le besoin de modifier leurs fonctionnalités de détection en cours de test. Essayez de comprendre si ces changements sont compréhensibles ou si le test a été manipulé.
  • Méfiez-vous des indicateurs élevés en télémétrie et faibles en techniques: les fournisseurs qui mettent en avant leurs chiffres élevés en télémétrie avec des techniques peu nombreuses ont un outil qui n’automatise pas la corrélation des événements. Cela signifie que vos équipes devront le faire manuellement ou qu’il y aura des retards importants et des imprécisions dans les conclusions tirées. Des retards à ce niveau entraînent des retards de réactivité, d’où une augmentation du risque.
  • Méfiez-vous des fournisseurs qui inventent leurs propres systèmes de notation: nous avons vu beaucoup de fournisseurs masquer leurs résultats médiocres avec des statistiques et des chiffres qui font bonne impression, mais n’ont aucun sens. Les statistiques comme « Contexte par alerte » et « 100 % de détection » (alors qu’un examen plus attentif révèle clairement que des détections ont été ratées) sont stupides. Lisez les mentions en petits caractères.

Capture Client et le framework MITRE ATT&CK

Capture Client de SonicWall est propulsé par SentinelOne qui fournit une protection haut de gamme autonome des terminaux avec un antivirus de nouvelle génération, l’EDR (endpoint detection and response), et Deep Visibility. SentinelOne participe aux évaluations MITRE ATT&CK depuis 2018 et a obtenu d’excellents résultats aux évaluations 2022 (émulation des groupes de menaces Wizard Spider et Sandworm). Voici un résumé de la manière dont SentinelOne offre une protection contre les attaques supérieure à celle de n’importe quel autre fournisseur.

  1. La protection autonome bloque et corrige immédiatement les attaques
    Les équipes de sécurité attendent des technologies capables de faire face à la rapidité d’action des agresseurs. MITRE Protection détermine la capacité du fournisseur à analyser rapidement les détections et à exécuter une correction automatique pour protéger les systèmes.
    100 % de protection :(9 tests MITRE ATT&CK sur 9)
    Source : www.sentinelone.com
  2. Les détections les plus utiles sont les détections analytiques
    Les détections analytiques sont des détections contextuelles construites à partir d’un ensemble de données plus large et combinent la détection des techniques et des tactiques.
    100 % de détection :(19 étapes d’attaque sur 19)
    99 % – couverture d’analyse la plus élevée :(108 détections sur 109)
    Source : www.sentinelone.com
  3. Les retards de détection minent l’efficacité de la cybersécurité
    Le temps joue un rôle déterminant quand il s’agit de détecter ou de neutraliser une attaque. Les entreprises qui veulent réduire le risque ont besoin d’intégrer les détections en temps réel et la correction automatisée à leur programme de sécurité.
    100 % en temps réel (0 retard)
    Source : www.sentinelone.com
  4. La visibilité garantit qu’aucune menace ne passe inaperçue
    La visibilité est la base de l’EDR et un indicateur clé dans les résultats MITRE Engenuity. Pour comprendre ce qui se passe dans l’entreprise et traquer les menaces de manière précise, la technologie de cybersécurité doit créer un interstice de visibilité. Les données doivent être précises et fournir une vision de bout en bout sur quoi, où et qui, peu importe la connectivité ou le type d’appareil.

Conclusion

Les évaluations MITRE Engenuity ATT&CK continuent de faire avancer le secteur de la sécurité en apportant une visibilité indispensable et des tests indépendants en matière d’EDR. En tant que responsable ou praticien de la sécurité, il est important de voir au-delà des simples chiffres pour avoir une vision globale et identifier les fournisseurs pouvant offrir des détections haut de gamme avec une grande visibilité tout en réduisant la charge de travail de l’équipe de sécurité. Du point de vue des RSSI, ces principes centrés sur le produit sont compatibles avec l’esprit des objectifs de MITRE Engenuity :

  1. La visibilité et la couverture EDR sont le minimum requis : la base d’une solution EDR haut de gamme réside dans sa capacité à consommer et corréler des données à bas coût et à grande échelle en bénéficiant des possibilités du cloud. Toute donnée pertinente doit être capturée, avec peu voire aucun raté, pour fournir une visibilité de grande ampleur à l’équipe SecOps. Les données, notamment celles qui capturent tous les événements, sont la base de l’EDR et doivent être considérées comme le minimum requis et un indicateur MITRE Engenuity clé.
  2. Le contexte et la corrélation générés par la machine sont indispensables : la corrélation désigne le processus d’établissement de relations entre des points de données infimes. La corrélation se fait de préférence avec des machines à la vitesse de la machine, un analyste n’a donc pas besoin de perdre du temps à recouper manuellement les données. De plus, cette corrélation doit si nécessaire être accessible dans son contexte d’origine pour de longues périodes.
  3. La consolidation des alertes sur la console est essentielle : « Plus de signal et moins de bruit » représente un défi pour les SOC et les équipes modernes de réponse aux incidents qui sont confrontés à une surcharge d’informations. Au lieu d’alerter sur chaque élément de télémétrie dans le cadre d’un incident et de solliciter excessivement l’équipe du SOC, assurez-vous que la solution regroupe automatiquement les points de données en alertes consolidées. Dans l’idéal, une solution peut mettre en corrélation les activités liées dans des alertes unifiées qui donnent une perspective au niveau de la campagne. Cela réduit les efforts manuels, lutte contre la désensibilisation aux alertes et diminue considérablement la barrière de compétence pour réagir aux alertes. Tout cela aboutit à de meilleurs résultats pour le SOC sous la forme de confinements plus courts et d’une réduction globale des délais de réaction.

Pour faire l’expérience par vous-même de la protection et de la détection haut de gamme fournies par Capture Client, cliquez ici pour un essai gratuit.

This post is also available in: Anglais Portugais - du Brésil Deutsch Espagnol Italien

Suroop Chandran
Senior Product Manager | SonicWall
Suroop leads product management for the SonicWall Capture Client and SonicWall Web Application Firewall products and is the subject matter expert on reporting, alerting and dashboarding for the SonicWall Capture Security Center. With over 12 years of cybersecurity experience, Suroop has played multiple roles from being a security analyst in a SOC to building SOCs for Fortune 500 companies, to helping regional and global MSSPs develop their own SOC services.