Alors que l’institut américain NIST se concentre sur la mise en place d'un programme de cybersécurité complet, l’institution indépendante MITRE ATT&CK décrit les tactiques et techniques spécifiques des cyberattaques. Il s’agit d’un outil précieux pour tester les cyberdéfenses et permettre aux équipes de cybersécurité d’améliorer les capacités de réponse aux attaques. Pour ne citer qu’eux, les éditeurs d’EDR participent aux évaluations MITRE ATT&CK pour analyser les performances de leurs outils face à des scénarios réalistes et crédibles de menaces. C’est aussi l’occasion pour les acteurs participants de communiquer sur leur efficacité.
Au cours du 1er trimestre 2024, les cinq techniques MITRE ATT&CK les plus fréquemment découvertes au cours du premier semestre de l’année étaient le détournement du PowerShell de Windows et de Windows Management Instrumentation (WMI) qui permet d’automatiser des tâches administratives sur des ordinateurs locaux ou distants. Les failles XSS figurent toujours en tête du Top 25 des vulnérabilités sur les sites web. Des techniques malveillantes qui s’ajoutent à l’injection de processus, à la manipulation de données ou encore à la découverte de comptes pour les compromettre. L’évaluation de 2024 a porté sur les détections réelles et faux positifs ainsi que les menaces réelles sous Windows,
Linux et MacOS.
Pour rappel, les faux positifs sont un effet secondaire très pénalisant des scans de vulnérabilités, car leur traitement fait perdre du temps aux équipes de sécurité. MITRE a également axé l'évaluation 2024 sur la menace majeure que constituent les ransomwares courants ciblant Windows et Linux. Concernant MacOS, l’analyse de Mitre a porté sur les malwares modulaires, agissant en plusieurs phases pour obtenir des privilèges élevés et des informations d'identification sur les terminaux des victimes.
Les évolutions des tests MITRE ATT&CK en 2024
Comme indiqué précédemment, les faux positifs sont un biais à éviter dans les alertes remontées par les outils de défense. Pour mesurer leur efficacité, MITRE a ajouté artificiellement du bruit à la phase de détection. Cette évaluation est mesurée sur unsous-ensemble de tâches secondaires.
Autre changement important des tests en 2024, les analystes de MITRE ont émulé de manière réaliste le comportement d’un centre d'opérations de sécurité (SOC) opérant dans un véritable environnement client. Lors des années antérieures, les éditeurs de solutions effectuaient l'évaluation sur leur propre plateforme, ce qui pouvait introduire un biais préjudiciable à l’indépendance et à la pertinence des tests.
Les évaluations de cette année ont inclus davantage de scénarios d'attaque basés sur le cloud, la sécurité des environnements hybrides et multicloud étant de plus en plus prégnante pour les entreprises.
Le copieux Red report de Picus basé sur les évaluations MITRE s’est particulièrement intéressé aux malwares de type « Hunter-killer » qui recherchent activement les défenses dans les systèmes compromis et les élimine, ce qui leur permet de rester furtifs
plus longtemps.
Pour rappel, les trois techniques les plus utilisées en 2023 avaient été l’injection de processus permettant notamment l’escalade de privilèges (32 %) suivie du détournement de l’interpréteur de commandes et de scripts (28 %). En troisième place, avec 26 % des cas, figuraient les techniques utilisées par les pirates pour affaiblir ou désactiver les mécanismes de défense des environnements victimes.
