Produits et services Central

Mission accomplie : l'évaluation MITRE ATT&CK confirme la supériorité des systèmes de détection de FireEye Endpoint Security et Mandiant Managed Defense

Le 21 avril 2020, les résultats de l'évaluation MITRE ATT&CK® 2019 sont enfin tombés. Verdict : FireEye Endpoint Security et Mandiant Managed Defense ont obtenu le meilleur taux cumulé de détection et détecté le plus grand nombre de techniques d'attaque. Côté visibilité, nos solutions se sont distinguées par un large éventail de données télémétriques brutes et des alertes hautement contextualisées par notre service managé de détection et réponse. Dans cette deuxième édition de l'évaluation MITRE ATT&CK des solutions de détection et réponse sur les terminaux (EDR), les fournisseurs participants ont été confrontés à une émulation d'attaque sophistiquée d'APT29, un groupe à la solde de l'État russe.

MITRE, une organisation indépendante à but non lucratif, a créé une base de connaissances accessible à tous sur les modes opératoires de tels groupes. La matrice ATT&CK fournit un cadre de référence destiné aux structures publiques et privées, et à toute la communauté de la cybersécurité au sens large, pour le développement de modèles et méthodologies de menaces spécifiques.

Chez FireEye, c'est avec grand enthousiasme que nous avons participé à cette évaluation publique de MITRE. Nous croyons fermement en l'importance de tests transparents et saluons la méthode impartiale de l'organisation. Nous sommes par ailleurs très fiers d'avoir pu contribuer à sa base de connaissances grâce à nos articles de blog et rapports publics consacrés à APT29 : NotSoCozy, TweetBlog et HAMMERTOSS.

FireEye réalise le plus grand nombre de détections cumulées, assurant de fait la couverture la plus complète des méthodes d'APT29

MITRE a évalué 57 techniques ATT&CK sur un total de 134 procédures de test. Dans certains cas, un fournisseur peut réaliser de multiples détections dans la même procédure/étape de test (par ex. pour les catégories Télémétrie et Technique). Le total des détections cumulées correspond au nombre de détections effectuées par un participant dans les cinq grandes catégories MITRE (Général, Technique, Tactique, MSSP et Télémétrie), toutes confondues, de manière à ce que les résultats ne soient pas faussés par un seul type de détection.

De toutes les solutions sur les rangs, FireEye a réalisé le plus grand nombre de détections cumulées, une prouesse qui atteste de la qualité unique de notre cycle d'innovation. Notre connaissance approfondie du champ des menaces repose sur les capacités de Threat Intelligence les plus robustes du marché, complétées par les enseignements et analyses tirés de plus de 200 000 heures passées chaque année à investiguer et répondre sur le terrain aux attaques subies par nos clients. C'est grâce à cette combinaison unique que nous pouvons innover et développer rapidement les fonctionnalités avancées de FireEye Endpoint Security.

Détections individuelles et cumulées des techniques d'attaque : FireEye obtient le meilleur score de tous les participants

La détection des techniques d'attaque est l'une des catégories phares de l'évaluation, dans la mesure où elle est directement liée à la matrice ATT&CK. Grâce à ces détections, un analyste sait exactement comment une action a eu lieu et, grâce à des données enrichies, peut retracer dans ses moindres détails le mode opératoire utilisé par APT29.

De toutes les solutions évaluées par MITRE ATT&CK, FireEye a réalisé le plus grand nombre de détections (individuelles et cumulées). FireEye Endpoint Security peut en effet détecter les attaques les plus sophistiquées, tout en fournissant des données contextuelles, une télémétrie à fort impact et des alertes cruciales. Développé par des experts de l'intervention de première ligne, FireEye Endpoint Security procure une visibilité sans précédent sur les menaces les plus nocives.

Télémétrie et détections cumulées : FireEye en première position

La télémétrie est une fonctionnalité EDR fondamentale aux centres opérationnels de sécurité (SOC) actuels. Pour répondre aux menaces, un analyste a besoin d'outils d'alerte et de corrélation avec les données télémétriques. Le système d'alerte FireEye non seulement génère un vaste ensemble de données télémétriques brutes sur les terminaux, mais les complète également par des informations contextualisées pour améliorer le tri des alertes et accélérer la réponse. Pour une solution complète de protection des terminaux, les détections doivent absolument s'accompagner d'une télémétrie enrichie.

La différence FireEye : sa capacité à créer un contenu de sécurité personnalisé

FireEye Endpoint Security permet à ses clients de créer et d'importer leur propre contenu de sécurité, en plus du contenu proposé par défaut. Pour illustrer le potentiel de cette fonctionnalité lors de l'évaluation, FireEye a importé des contenus de sécurité spécifiques à ATT&CK, ainsi que des contenus de production. Le contenu ATT&CK est désormais disponible sur le FireEye Market. Ces règles personnalisées peuvent aider à renforcer la capacité de détection et servir de modèle aux clients souhaitant créer leur propre contenu.

Mandiant Managed Defense : des synergies en action

FireEye estime qu'à elle seule, la technologie n'a pas réponse à tous les enjeux de sécurité. Pour nous, une bonne sécurité est le produit du triptyque technologie, Threat Intelligence et expertise. Avec Mandiant Managed Defense, nous avons mis sur les rangs les meilleurs talents de la détection et de la réponse de la planète. Alimenté par le réseau mondial de CTI le plus vaste du secteur, notre service s’appuie sur des informations (campagnes, attaquants, victimes, machines touchées) acquises lors d’interventions sur les compromissions les plus graves.

Au cours de l'évaluation MITRE, FireEye a pu mettre en valeur les synergies entre ces différentes composantes. Mandiant Managed Defense propose un service managé de détection et réponse qui allie l’expertise reconnue de FireEye, ses technologies et sa connaissance incomparable des attaquants pour identifier les menaces très tôt dans le cycle d'attaque et réduire l’impact d'une éventuelle compromission. La phase d'investigation est documentée par des rapports et analyses détaillées. Nos experts se donnent pour mission d'apporter des réponses concrètes aux problématiques de sécurité de nos clients, et d'agir en appui direct de leurs équipes de sécurité internes. Pour se défendre efficacement contre les attaques sophistiquées, les entreprises ont besoin de services proactifs de détection et de réponse aux menaces avancées.

MITRE a ajouté les services MSSP aux principaux types de détection dans ses critères d'évaluation. Là encore, FireEye a obtenu l'un des meilleurs taux de détection, le tout complété par les données contextualisées de Mandiant Managed Defense. Cette performance reflète l'efficacité de la solution EDR de FireEye, proposée par le leader mondial de la Threat Intelligence, et du service MDR dirigé par les experts les plus chevronnés de la réponse à incident.

FireEye Endpoint Security : l'art de trouver une aiguille dans une botte de foin

FireEye Endpoint Security rassemble les meilleures fonctionnalités des produits de protection des terminaux et y ajoute la technologie, l'expertise et la Cyber Threat Intelligence (CTI) signées FireEye. Objectif : vous protéger efficacement face aux cyberattaques actuelles. La solution FireEye Endpoint Security intègre quatre moteurs pour prévenir, détecter et répondre aux menaces, avec en prime des fonctionnalités avancées d'investigation et de traque des menaces :

  • Pour bloquer les malwares courants, Endpoint Security utilise un moteur EPP (Endpoint Protection Platform) basé sur les signatures.
  • Pour les menaces émergentes qui n’ont pas encore été caractérisées par une signature, MalwareGuard fait appel à des technologies de machine learning nourries par une CTI de terrain.
  • Exploit Guard, notre moteur d'analyse des comportements, neutralise les exploits et menaces courantes telles que le phishing.
  • Les fonctionnalités EDR déploient un moteur d'analyse des événements en temps réel qui s'appuie sur une Threat Intelligence précise et actualisée pour identifier les menaces avancées.

Cette stratégie de défense en profondeur (DiD, Defense in Depth) favorise la protection des entreprises en prévenant les attaques et en réduisant la durée de détection. Grâce à des capacités natives d’analyse forensique et d'investigation sur les terminaux et systèmes d'exploitation à l'échelle de l'entreprise, les analystes et investigateurs peuvent repérer efficacement toute compromission, en déterminer l'impact et y remédier. Pour faire face à un champ des menaces en perpétuelle mutation, FireEye Endpoint Security s'accompagne de modules additionnels innovants : Logon Tracker, pour investiguer les mouvements latéraux dans les environnements Windows d'entreprise ; Process Guard, pour prévenir le vol d'identifiants en bloquant l'accès aux données d’identification ou ressources critiques stockées sous Windows ; Enrichment, pour enrichir les fichiers de données CTI Mandiant, déterminer leur degré de malveillance et apporter des éléments aux dossiers d'investigation ; et Process Tracker, pour collecter des métadonnées sur les terminaux Windows, Mac et Linux et les diffuser à la console Endpoint Security.

Durée de l'évaluation MITRE ATT&CK

FireEye a confirmé sa participation à l'évaluation MITRE en juillet 2019 et celle-ci s'est déroulée du 12 au 15 décembre 2019.

FireEye est pleinement favorable à la procédure d'évaluation collaborative et ouverte de MITRE car elle permet d'informer les organisations sur les modes opératoires des attaquants et, plus important encore, sur l'efficacité des systèmes de sécurité face à ces comportements. Les solides performances affichées par FireEye reflètent une fois de plus notre parfaite compréhension des grands enjeux de sécurité pour nos clients, mais aussi l'excellence de notre Threat Intelligence et de nos produits et services managés de détection et réponse.

Méthode d'évaluation

L'évaluation MITRE propose un bilan détaillé des capacités de chaque solution à détecter et répondre aux techniques utilisées par APT29. Il est important de rappeler que l'évaluation MITRE n'attribue aucun score quantitatif aux solutions évaluées et qu'elle n'établit aucun classement des différents participants.

Pour comparer la performance de FireEye Endpoint Security et Mandiant Managed Defense aux autres solutions évaluées, FireEye a repris les données JSON brutes publiées par MITRE pour tous les participants et a généré des résultats cumulés pour toutes les catégories, sans aucune modification de configuration. Aucun score n'a été pondéré ou ne s'est appuyé sur des qualificatifs ou des changements subjectifs. Les graphiques représentent les totaux cumulés des diverses catégories de détection indiquées et peuvent être vérifiés sur la page des résultats complets du site de MITRE.

Sur la base de ces critères, FireEye Endpoint Security et Mandiant Managed Defense se sont tous deux démarqués des autres solutions dans toutes les principales catégories évaluées.

D'autres validations par des tiers, telles que la liste des produits d'entreprise approuvés d'AV-Comparatives et la certification délivrée par Virus Bulletin, démontrent la position leader de FireEye Endpoint Security sur le marché et notre engagement pour des tests impartiaux. La première place remportée par Endpoint Security au NAVWAR Artificial Intelligence Challenge apporte une autre preuve indéniable et objective de son efficacité.

Découvrez en détail les résultats MITRE obtenus par FireEye Endpoint Security et la performance de FireEye face à APT3 durant le premier cycle d'évaluation MITRE. Nous vous invitons également à effectuer une visite auto-guidée d'Endpoint Security  et  à tester gratuitement le produit pendant 30 jours.

Pour valider l'efficacité de votre fournisseur actuel de solutions de protection des terminaux face à APT29 et d'autres cybercriminels ciblant votre secteur, optez pour Mandiant Security Validation (anciennement Verodin Security Instrumentation Platform). Demandez une démonstration.