This post is also available in: English (Anglais) 简体中文 (Chinois simplifié) 繁體中文 (Chinois traditionnel) Deutsch (Allemand) Italiano (Italien) 日本語 (Japonais) 한국어 (Coréen) Português (Portugais - du Brésil) Español (Espagnol)
Cette année, Cortex XDR est entré dans l’histoire des évaluations MITRE ATT&CK en devenant le tout premier participant à décrocher le score de 100 % en détection de niveau technique, et ce à chaque étape de l’attaque simulée. Catégorie reine, les détections de niveau technique fournissent aux analystes sécurité les informations précises indispensables à l’identification d’une attaque. Dans ce domaine, Cortex XDR s’illustre par la constance de ses performances, obtenant pour la deuxième année consécutive la note de 100 % en détection, sans retard ni modification de la configuration.
En outre, la solution affiche le taux de prévention le plus élevé, tous fournisseurs confondus, sans aucun faux positif. Une véritable prouesse pour la sécurité des terminaux. Au stade de la prévention, la moindre fausse alerte peut en effet perturber les processus métiers légitimes et, par conséquent, nuire à la productivité.
MITRE ATT&CK livre cette année une évaluation encore plus rigoureuse, qui intègre le test des faux positifs, les ransomwares sur macOS et de nouveaux scénarios Linux. Plusieurs fournisseurs de premier plan se sont retirés de l’évaluation, le nombre de participants passant ainsi de 29 à 19. Lors des épreuves, les deux tiers d’entre eux ont détecté moins de 50 % des étapes de l’attaque. Preuve s’il en est de la rigueur accrue de l’évaluation cette année.
Nous sommes immensément fiers du niveau d’excellence de nos équipes d’ingénierie et de recherche sur les menaces. Mises au service de nos clients, ces compétences permettent à nos clients de toujours garder un coup d’avance sur des attaques semblables à celles de l’évaluation. Ils assurent ainsi une sécurité exceptionnelle sur leurs terminaux.
Phase 6 de MITRE ATT&CK : Cortex XDR affiche la meilleure sécurité des terminaux
Cortex XDR s’est distingué aussi bien dans les scénarios de détection que de prévention, établissant au passage un nouveau point de référence pour la sécurité des terminaux.
La solution peut ainsi se targuer d’être la première à décrocher le score de 100 % en détection de niveau technique pour toutes les étapes des attaques simulées, dans les trois scénarios de l’épreuve et sans retard ni modification de la configuration. Des performances qui réaffirment notre engagement à fournir le bouclier défensif le plus complet pour les plus grands systèmes d’exploitation (Windows, macOS et Linux).
Les évaluations MITRE ATT&CK testent également la prévention, soit la capacité d’une solution à neutraliser les attaques avant qu’elles ne causent le moindre préjudice. Prévenir les risques autant que possible et détecter le reste au plus vite avec précision : c’est là le fondement même de la sécurité des terminaux.
Durant la phase 6, Cortex XDR a bloqué 8 des 10 étapes de l’attaque, sans émettre le moindre faux positif. En effet, ce type d’alerte au stade de la prévention peut perturber les opérations critiques, avec un risque financier majeur. Affichant une prévention d’une précision incomparable sans perturber les activités, Cortex XDR incarne la solution de sécurité des terminaux idéale pour les plus grandes et les plus exigeantes des entreprises.
Bien que deux étapes de l’attaque ne remplissent pas les critères d’un blocage selon les paramètres définis par MITRE dans le test de prévention, les mesures que nous aurions prises à ces stades précis auraient protégé nos clients et empêché une compromission.
- Ainsi, la troisième étape consistait en une tentative de connexion SSH depuis un hôte suspect situé en Chine, puis devait être suivie de l’étape d’attaque MITRE. Nous avons su bloquer la connexion SSH suspecte, neutralisant l’attaque à un stade précoce.
- La cinquième étape, quant à elle, comprenait une tentative de chiffrement de données, une action immédiatement enrayée par l’agent de Cortex XDR. Nous avons donc stoppé l’attaque, parvenant de fait au seul résultat qui compte vraiment : assurer la sécurité de nos clients.
Qu’est-ce que l’évaluation MITRE ATT&CK ?
Test le plus rigoureux du marché de la cybersécurité, l’évaluation MITRE ATT&CK est conçue pour mesurer la capacité des solutions de sécurité des terminaux à détecter et à prévenir les menaces réelles. L’évaluation MITRE ATT&CK étudie et émule les attaques menées par les adversaires les plus redoutables, ce qui en fait la référence ultime en matière de cybersécurité.
L’édition 2024 s’est principalement concentrée sur deux sources d’attaques sévissant dans le paysage cyber actuel :
- Ransomwares – Exploration de comportements courants dans les campagnes de ransomware, comme le détournement d’outils légitimes, le chiffrement de données et la désactivation de services ou de processus critiques. Ainsi, MITRE a choisi d’émuler les techniques de deux groupes connus pour leur pratique du Ransomware-as-a-Service (RaaS), à savoir CLOP et LockBit.
- Corée du Nord – Simulation d’attaques sur des systèmes macOS selon les méthodes des groupes affiliés à la Corée du Nord, qui utilisent des malwares modulaires pour escalader leurs privilèges et cibler des identifiants de connexion.
Comment les équipes Palo Alto Networks surveillent-elles des menaces majeures comme les ransomwares et les groupes nord-coréens ?
En renfort d’Unit 42, l’équipe Cortex Threat Research de Palo Alto Networks assure une veille du paysage en constante évolution des cybermenaces et transforme ses résultats en insights actionnables, qui viennent directement renforcer les fonctions de détection et de prévention de Cortex XDR.
Dans le cadre de sa surveillance quotidienne des tactiques, techniques et procédures (TTP) des attaquants, elle s’est concentrée ces douze derniers mois sur les groupes APT affiliés à la Corée du Nord, découvrant de nouveaux malwares et campagnes utilisés pour infiltrer des entreprises du monde entier.
La Corée du Nord est en effet connue pour livrer une guerre cybernétique au profit de son régime avec une approche stratégique à double détente, conjuguant l’espionnage à des activités cybercriminelles à grande échelle. Nos recherches soulignent l’attention croissante portée par ces groupes aux utilisateurs et aux terminaux macOS, mais aussi les tentatives répétées de vol de cryptomonnaies et d’informations sensibles à des organisations de régions et de secteurs variés.
Nous avons déjà publié les principales conclusions de ces recherches, qui sont à retrouver dans le Centre de recherche sur les menaces d’Unit 42, notamment les articles suivants :
- Pleins feux sur les techniques d’attaque nord-coréennes
- Arnaque aux entretiens d’embauche : des acteurs cyber nord-coréens ciblent les demandeurs d’emploi avec une nouvelle version des malwares BeaverTail et InvisibleFerret
- Gleaming Pisces empoisonne des packages Python pour installer des backdoors PondRAT sur Linux et MacOS
- L’arsenal de Sparkling Pisces révélé : KLogEXE et FPSpy
L’équipe a par ailleurs rédigé plusieurs articles de recherche sur les gangs de ransomware les plus dangereux en 2024, retraçant leur évolution et l’inquiétante progression de leurs attaques, tant en termes d’agressivité que de sophistication. Les études démontrent en outre comment les fonctions de détection et de prévention de Cortex XDR interrompent automatiquement ces opérations et coupent court au chiffrement d’informations sensibles.
Envie d’en savoir plus sur ces cybergangs ? Voici quelques ressources supplémentaires :
- Pleins feux sur Howling Scorpius (ransomware Akira)
- De RA Group à RA World : anatomie de l’évolution d’un groupe de ransomware
- Pleins feux sur BianLian
Quelles sont les nouveautés du test cette année ?
Face à des menaces en constante évolution, l’évaluation MITRE ATT&CK intègre d’importants changements afin de mieux mesurer l’efficacité des solutions de sécurité des terminaux.
- Couverture des terminaux étendue – Pour la première fois, le test couvre davantage de plateformes de terminaux, avec l’inclusion des environnements Windows, Linux et macOS. Ce faisant, les solutions sont évaluées dans divers systèmes d’exploitation, pour une vision plus complète de leurs capacités de défense.
- Vérification des faux positifs – Autre nouveauté majeure, le suivi du taux de faux positifs, un facteur absolument déterminant dans les déploiements en entreprise. L’épreuve visait non seulement à mesurer la capacité des solutions à détecter les menaces, mais aussi à éviter les alertes injustifiées, qui risqueraient d’alourdir la charge de travail des équipes SecOps et de perturber des processus métiers critiques.
Avec ces changements, MITRE livre son évaluation la plus rigoureuse et la plus réaliste à ce jour.
Année après année, Cortex XDR affiche sa constance dans l’excellence
Chez Palo Alto Networks, nous avons à cœur de fournir à nos clients les meilleures technologies de cybersécurité. C’est pourquoi nous investissons continuellement dans nos talents, la recherche et l’ingénierie. Année après année, nos équipes sont fières de soumettre leurs solutions à l’épreuve des évaluations MITRE ATT&CK, portant l’impact de leur travail à la vue du monde entier.
Depuis 2022, Cortex XDR domine ses concurrents aux tests de détection des évaluations MITRE. Nous sommes convaincus que la simulation d’attaque fournit tous les ans des éclairages uniques sur les méthodes des attaquants et les capacités défensives des différents acteurs de notre secteur. C’est pour cette raison que nous vous invitons à explorer l’historique de nos évaluations MITRE ATT&CK dans un tableau de bord interactif qui permet d’observer facilement l’évolution d’année en année.
Un grand merci à MITRE et à tous nos clients qui ont choisi de protéger leurs terminaux avec Cortex XDR. Nous sommes fiers d’être le partenaire de confiance de votre cybersécurité.
Pour découvrir Cortex XDR en action, contactez-nous afin de planifier une démo.