En 2018, MITRE a lancé l’évaluation ATT&CK® en tant qu’évaluation de produit EDR tirant parti de l’ATT&CK® framework pour APT3. En octobre dernier, les résultats de cette évaluation ont confirmé les capacités de pointe de F-Secure dans la détection des attaques avancées. Nous apprécions l’engagement de MITRE envers ces évaluations car elles offrent une transparence sur l’efficacité des produits EDR dans la détection des cyber attaques ciblées.
L’équipe de F-Secure est heureuse de partager les excellents résultats issus du “Round 2” de l’évaluation MITRE ATT&CK®
La dernière évaluation (Round 2) se concentre principalement sur les capacités de détection contre APT29 (alias The Dukes). APT29 est un groupe de hackers qui a réussi l’espionnage pendant 7 ans avant d’être découvert par F-Secure en 2015. Nos recherches sur «The Dukes» sont devenues la première contribution apportée à la base de connaissances du MITRE pour APT29. Cette évaluation a porté sur le produit EDR de F-Secure, Rapid Detection & Response, ainsi que Countercept, le service de détection et de réponse managé (MDR) de F-Secure.
Lors du Round 2 de l’évaluation MITRE ATT&CK, nous avons démontré de fortes capacités à :
- Fournir rapidement des informations exploitables avec un nombre minimal de faux positifs
- Fournir une grande couverture et une visibilité sur les indicateurs d’attaque
- Intégrer des services managés (MDR) pour augmenter la probabilité de détecter les attaques le plus vite possible
Comme pour le Round 1, le Round 2 se concentre sur l’attribution de catégories de détection aux cas de test en fonction de la collecte, de l’analyse et de la présentation des données fournies par chaque solution. Chaque résultat est affecté à l’une des principales catégories de détection et éventuellement à un ou plusieurs modificateurs.
Notre technologie de détection et réponse délivre à nouveau d’excellents résultats
Les résultats de l’évaluation démontrent à quel point la technologie de détection et réponse de F-secure est très efficace par rapport aux 58 techniques ATT&CK utilisées au cours des 134 étapes de tests de l’évaluation.
Le tableau ci-dessous montre comment F-secure détecte rapidement le scénario d’attaque APT29 avec une excellente couverture par rapport aux 20 autres éditeurs participant à l’évaluation, y compris les éditeurs avec la couverture de détection la plus élevée. Le graphique montre également la répartition des différents types de détection fournis par les solutions EDR, ainsi que les services managés de visibilité supplémentaires qui ont contribué à la couverture globale de détection.
Image 1 – Principaux éditeurs par couverture de détection dans les principales catégories de détection
Sur la couverture totale de détection de 134 tests, la couverture totale de F-Secure a atteint un niveau très élevé de 118. Nous avons alerté immédiatement pour 10 tests avec des informations de détection générales comme un comportement non spécifique, 28 tests avec des informations détaillées sur une technique spécifique, et 52 tests ont été alertés par l’analyse humaine c’est-à-dire par les threat hunters de notre service managé. Une visibilité supplémentaire a été fournie par la télémétrie couvrant 28 tests.
Le graphique ne prend pas en compte les modifications de configuration apportées lors de l’évaluation qui peuvent ne pas refléter les paramètres de configuration recommandés par l’éditeur aux utilisateurs finaux. Les chiffres changeront pour certains éditeurs lors de la suppression de la contribution de la catégorie MSSP à leur couverture globale.
La couverture de détection à elle seule n’est pas le seul facteur à prendre en compte pour décider de la meilleure solution de détection et réponse. Avoir un nombre élevé de détections générales, tactiques ou techniques conduit à un score plus élevé car cela garantit que moins d’attaques seront manquées. L’accès à des détections plus fidèles donne aux utilisateurs plus de temps pour enquêter sur des événements qui ont plus de chances de se révéler être de véritables attaques plutôt que de parcourir une montagne de données qui peuvent être principalement des faux positifs.
La technologie de détection et réponse de F-Secure équilibre cela en ayant des détections spécifiques pour les événements anormaux avec différents niveaux de gravité ainsi qu’en réduisant le bruit pour les enquêteurs et en agrégeant les alertes dans ce que nous appelons les «incidents» ou les détections à contexte large. Ces incidents sont classés par ordre de priorité sur la base d’un système de notation des risques pour aider l’utilisateur à traiter d’abord les incidents les plus critiques.
Étant donné que les attaques ciblées sont toujours conçues pour éviter la détection, il est essentiel de détecter et de stopper les attaques aux bons endroits de la kill chain, et il est important de comprendre à quel niveau de la kill chain les données n’ont pas été indiquées. Les pirates informatiques sont susceptibles d’exécuter du code à un moment donné du compromis et peuvent le faire plusieurs fois. C’est la raison pour laquelle, chez F-Secure, nous avons concentré nos efforts pour nous assurer d’avoir un ensemble complet de capacités de télémétrie et de détection pour l’exécution de code. De plus, les hackers peuvent effectuer des routines de persistance pour assurer la longévité du système cible. Une bonne couverture, en particulier pour l’exécution de code ou la persistance, augmente la visibilité des techniques d’attaque importantes. Se concentrer sur les bonnes étapes de la kill chain où il existe des points communs entre différents pirates augmente la probabilité de découvrir des attaques ciblées.
La dernière évaluation MITRE ATT&CK® met en évidence les avantages spécifiques de l’utilisation du MDR (Managed Detection and Response)
Les services managés en plus des capacités de détection peuvent être des alliés précieux pour les organisations hautement ciblées. Alors que l’évaluation vise principalement à évaluer les prouesses de détection d’un outil EDR au cas par cas / procédure de test, l’inclusion de la catégorie de détection “MSSP” nous a permis de souligner l’importance d’avoir une équipe solide à portée de main pour enquêter et comprendre la nature de la menace.
À partir de la couverture totale de détection de 134 tests dans cette évaluation, le tableau ci-dessous illustre la contribution significative de notre service managé soit au total 52 tests. Une combinaison de nos capacités – humaines et technologiques – est ce qui a donné ce résultat. Nous pouvons démontrer la valeur de notre service managé en utilisant des exemples de l’évaluation qui mettent en évidence la manière dont une attaque serait détectée, étudiée et finalement contenue.
Image 2 – Couverture de détection de F-Secure au travers des principales catégories de détection
L’équipe de Détection et Réponse (DRT) de F-Secure Countercept a les compétences nécessaires pour enquêter sur des choses qui ne semblent pas immédiatement suspectes, pour ensuite développer une règle de détection pour le futur. Le fait que nous collections et stockions beaucoup de données de télémétrie signifie que, en plus des compétences, nous avons les moyens de le faire; tous les éditeurs n’ont pas cette capacité. Nous allons voir à quelle vitesse cela peut être fait en un instant.
L’évaluation a impliqué un utilisateur sans méfiance ouvrant des fichiers ou des liens dans des e-mails qui a conduit à une exécution de code inattendue qui a été détectée et signalée.
L’exécution inattendue de code, même provenant de fichiers ou de liens d’apparence légitime, ne garantit pas que quelque chose de malveillant se produise.
Dans ce cas, l’utilisateur avait ouvert un fichier .doc, entraînant l’exécution de code – quelque chose que notre agent a ensuite récupéré et signalé, car l’exécution a ensuite déclenché des sessions interactives. Comprendre si c’est une mauvaise chose nécessite une petite intervention humaine. Dans ce cas, un enquêteur a remarqué que quelque chose n’allait pas – une méthode de forçage “right to left override” a été utilisée. Parce qu’il n’y a que quelques raisons légitimes de le faire, c’est quelque chose qui appelle à faire une enquête plus approfondie. C’est une déduction facile à faire pour un humain – mais c’est aussi quelque chose qu’une règle correcte repérerait; la création d’une telle règle créerait un résultat immédiat. Soit dit en passant, notre DRT l’a déjà fait.
Bien que la télémétrie soit la clé des enquêtes, il est parfois nécessaire d’examiner l’artefact réel utilisé pour déterminer ce qui s’est passé.
Traditionnellement, la récupération d’artefacts est une activité de réponse aux incidents – mais c’est quelque chose que notre DRT fait dans la plupart des enquêtes, et notre agent endpoint le rend facile à accomplir. Dans ce cas, l’exécution initiale du script a généré des sessions cmd et PowerShell qui ont téléchargé un autre fichier (monkey.png), qui a lui-même exécuté un autre script PowerShell. En récupérant et en analysant le fichier monkey.png, il est possible de comprendre ce que fait le script contenu dans ce fichier – dans ce cas, créer un contournement UAC et lancer un processus de haute intégrité qui renforce l’attaque.
Le scénario ci-dessus a été réalisé en “off” et n’est pas quelque chose que l’évaluation nous permet spécifiquement de démontrer. Mais le but d’un service MDR comme Countercept est de faire le gros du travail pour nos clients. Un rapport de gestion de sinistres efficace confirmera qu’un incident est en train de se produire – puis initiera les bonnes étapes de réponse pour limiter l’impact de cet incident.
Étant donné que l’évaluation de la solution ne vérifie que la couverture de détection, il n’a pas été possible de contenir ces incidents et de présenter nos capacités de réponse. En réalité, les deux attaques auraient été arrêtées après l’exécution initiale de l’utilisateur. En effet, l’alerte aurait conduit à la récupération et à l’analyse de l’artefact, révélant une intention malveillante. Un enquêteur expérimenté (comme nos threat hunters internes) s’il a un soupçon, a suffisamment de données, de contexte et d’expérience pour enquêter et répondre comme il est nécessaire de faire. C’est exactement ce que fait un bon MDR : il vous alerte quand vous devez le savoir, aide à compléter les failles pour créer une bonne compréhension, puis génère une réponse appropriée pour aider l’entreprise à surveiller et à contenir la menace.
Contexte plus large et intégration de MITRE ATT&CK®
Une bonne solution EDR donne non seulement aux équipes de sécurité la visibilité nécessaire, mais aide également à réduire le bruit, pour éviter de les surcharger, en signalant uniquement les détections pertinentes et en fournissant un contexte plus large pour les cyber attaques avancées.
Notre approche n’est pas directement comparable à celle d’autres éditeurs, car la technologie EDR native de F-Secure est alimentée par des analyses comportementales qui regroupent plusieurs détections en tant qu’incidents et les présentent dans un contexte plus large pour minimiser les alertes. Cela permet également de filtrer les faux positifs provoqués par une grande quantité d’événements individuels. Cela contribue à accélérer le tri et la hiérarchisation des détections ainsi que des actions de réponse. F-Secure fournit également une classification commune qui facilite les enquêtes des utilisateurs en reliant toutes les détections aux techniques pertinentes utilisées dans la base de connaissances MITRE ATT&CK®.
Vous trouverez ci-dessous un exemple de détection avec un contexte plus large lors du lancement d’un processus inconnu qui aurait pu être bénin en soi. Toutefois, avec un contexte plus large et une combinaison d’événements provenant d’endpoints pertinents, a augmenté le score de risque pour s’assurer qu’il ne se passera pas inaperçu.
Dans l’exemple ci-dessous, nous pouvons voir un pirate informatique pénétrer dans un système cible à la suite du phishing et de l’ingénierie sociale d’un utilisateur pour lancer un exécutable inconnu. L’attaque se poursuit, le hacker détruisant les preuves et se déplaçant latéralement vers la prochaine cible.
L’attaque ci-dessus comprend le vol d’informations d’identification du système qui est visible lorsque vous cliquez sur un processus spécifique et ouvrez la vue du processus comme illustré ci-dessous. Cette image montre également comment plusieurs détections sont agrégées en un seul Broad Context Detection ™ qui apparaît dans l’évaluation MITRE comme un seul incident agrégé qui inclut une ou plusieurs tactiques et techniques :
F-Secure peut agréger par «chaîne de processus» pour aider les équipes de sécurité IT à ne pas regarder chaque alerte, mais plutôt un ensemble de détections qui indiquent un événement suspect. Notre technologie Broad Context Detection™ automatise la combinaison des événements, nouveaux et historiques, en incidents avec des niveaux de risque et l’importance de l’hôte, ce qui donne aux utilisateurs une compréhension plus globale de l’attaque. Cette approche réduit considérablement le temps nécessaire pour passer par les événements individuels et déterminer la séquence des événements eux-mêmes. Les détections que nous avons créées pour ces différents TTP sont alimentées par des données comportementales et de réputation que nous avons accumulées à partir de notre connaissance des menaces qui alimentent nos solutions EPP (Endpoint Protection). La connaissance des menaces ainsi que la connaissance des méthodologies d’attaque augmentent la capacité de la solution à détecter les activités anormales, qu’elles soient automatiquement exécutées par des groupes de hackers ou des hackers seuls.
Voir au-delà du MITRE ATT&CK® lors du choix d’une solution EDR
Les évaluations MITRE ATT&CK® offrent une transparence indispensable dans le domaine de la détection. Il est cependant également juste de reconnaître que MITRE, comme tout test, n’est qu’une forme d’évaluation effectuée dans un environnement isolé. Il ne teste pas les capacités de réponse, qui est la seconde partie d’une solution de détection et réponse. Les organisations cherchant à comparer les fournisseurs EDR, MDR ou MSSP devraient considérer les évaluations MITRE comme l’un des critères de sélection d’un éditeur qui peut permettre à leurs organisations de détecter les tactiques, techniques et procédures (TTP) des pirates informatiques telles que celles indiquées dans le MITRE ATT&CK® framework.
Découvrez les solutions ci-dessous qui vous permettront de défendre votre entreprise contre les attaques ciblées grâce à des technologies de pointe et des threat hunters expérimentés.
Solution MDR : F-Secure Countercept
Solution EDR : F-Secure Rapid Detection and Response
Catégories