Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Évaluation APT29 basée sur le framework ATT&CK du MITRE : BlackBerry confirme son excellence

mai 2020 par Florent Embarek, Regional Sales Director Southern & Eastern Europe SPARK chez BlackBerry

Le framework ATT&CK® du MITRE est un référentiel mondial qui recense des tactiques et des techniques qui sont tirées de cyberattaques réelles et utilisées par les acteurs de la menace. À ce titre, il met en évidence des vecteurs d’attaque potentiels et décrit de manière uniforme le « comment » et le « pourquoi » des actions lancées par des agresseurs. Le MITRE, un organisme sans but lucratif spécialisé dans la sécurité numérique, fournit une base de connaissances et un vocabulaire communs pour décrire les attaques. Les utilisateurs finaux utilisent avec profit ces informations complexes organisées dans un format compréhensible et facilement exploitable.

Les fournisseurs de solutions de cybersécurité profitent également de ces travaux en testant leurs solutions par rapport au framework et en mesurant l’efficacité de leurs outils par rapport à des stratégies d’attaque et des comportements offensifs connus. Les tests effectués par le MITRE dans le cadre de son framework ATT&CK sont transparents, et les résultats mis à la disposition des fournisseurs comme des utilisateurs finaux, sans commentaire ni parti pris.

Les évaluations ATT&CK réalisées par le MITRE n’ont pas pour vocation de désigner des « vainqueurs » dans le secteur de la cybersécurité. Elles n’opposent pas les solutions les unes aux autres, n’évaluent pas les produits sur une base quantitative, et ne notent pas les performances des éditeurs. Les résultats des tests sont enregistrés dans une matrice qui permet aux lecteurs de savoir comment chaque fournisseur se comporte face à différentes techniques ou tactiques de menace. Dans la mesure où le MITRE ne propose aucune interprétation des résultats de ses tests, le présent document propose notre analyse des données d’évaluation APT29 des produits BlackBerry Cylance.

BlackBerry excelle dans l’évaluation APT29

BlackBerry a récemment participé à l’évaluation APT29 menée par le MITRE. Les solutions BlackBerry® Protect, BlackBerry® Optics et BlackBerry® Guard ont été testées par rapport aux d’attaque d’APT29, un groupe de hackers qui serait lié au gouvernement russe et connu pour avoir mené des attaques hautement médiatisées, notamment aux États-Unis en piratant le réseau informatique du Comité national démocrate (DNC) en 2015.
BlackBerry a obtenu d’excellents résultats d’un bout à l’autre de ces tests, dépassant même ses propres attentes ! Frank Duff, ingénieur en cybersécurité du MITRE et responsable des évaluations ATT&CK, a déclaré : « Dans l’ensemble, les résultats indiquent que les éditeurs commencent à comprendre comment détecter les techniques avancées qu’utilisent des groupes comme APT29, ainsi qu’à développer des produits qui fournissent des données exploitables à leurs utilisateurs. »

La puissance de la prévention

L’évaluation APT29 du MITRE ne comprenait aucune étape visant à mesurer l’aptitude d’une solution à prévenir une attaque. Néanmoins, BlackBerry Protect a détecté la nature malveillante du fichier malveillant injecté au cours des tests. Si l’évaluation avait représenté une attaque réelle, BlackBerry Protect l’aurait bloquée dès l’apparition du fichier malveillant sur un système protégé. Comme l’indique le MITRE, « il convient de noter que la plateforme BlackBerry Cylance aurait empêché les offensives menées en différents points de la chaîne d’attaque (« kill chain »). Qu’il s’agisse de mettre des fichiers binaires en quarantaine ou d’empêcher l’exécution fructueuse d’exploits et de scripts, la plateforme était toutefois configurée pour que ces attaques puissent se produire. » BlackBerry Protect détecte l’introduction du fichier malveillant avant son exécution BlackBerry Optics a détecté automatiquement la grande majorité des techniques et tactiques utilisées par l’attaquant pendant l’évaluation. La logique de détection de BlackBerry Optics peut être aisément étendue pour lancer des alertes relatives aux tactiques et techniques dans les situations où nos solutions disposent de la télémétrie requise pour observer un événement, mais elle n’a pas automatiquement déclenché d’alerte. Cette flexibilité ne se limite pas aux tactiques et techniques du framework ATT&CK. Toute télémétrie des terminaux peut être convertie en une alerte automatique, ce qui permet de personnaliser rapidement le produit. En donnant aux analystes la possibilité de personnaliser et d’automatiser des tâches de sécurité répétitives et fastidieuses, la charge de travail des employés diminue, sans pour autant nuire à la posture de sécurité. Grâce à cette augmentation de l’efficacité, les ingénieurs en sécurité peuvent consacrer davantage de temps à des stratégies à long terme ou au traitement de problèmes critiques au fil de leur apparition.

Une visibilité accrue des menaces

BlackBerry Optics a offert une visibilité dans la totalité des étapes primaires de l’évaluation de l’attaque, à une exception près. Chaque étape de l’évaluation contenait également une ou plusieurs sous-étapes d’attaque. Les données saisies par le MITRE ont mis en évidence les détections réalisées par BlackBerry dans la grande majorité des sous-étapes de l’évaluation.
BlackBerry Optics, la solution de détection des menaces et de réponse au niveau des appareils et des terminaux (EDR), a détecté des attaques utilisant ou modifiant les éléments suivants :
· textes de blocs de script PowerShell et charges utiles de l’interpréteur PowerShell,
· filtres, clients et hooks WMI (Windows Management Instrumentation),
· analyse et parsing (analyse syntaxique) automatiques des journaux d’événements Windows®,
· demandes et résolutions de DNS,
· analyse et parsing (analyse syntaxique) statiques des exécutables portables.

BlackBerry Optics augmente la visibilité en déployant directement des modèles mathématiques de détection des menaces sur le terminal et en stockant localement les données correspondantes. Avec BlackBerry Optics, les analystes peuvent rapidement rechercher des fichiers, des exécutables, des valeurs de hachage et d’autres indicateurs de compromission (IoC) dans les différents points d’extrémité du réseau afin de découvrir les menaces cachées. Les terminaux protégés peuvent également détecter des comportements suspects et y répondre sans être pénalisés par les retards de communications qui caractérisent les solutions EDR en cloud. Les nouveaux capteurs disponibles dans la version 2.4 de BlackBerry Optics ont joué un rôle essentiel dans le succès de cette évaluation. Ces capteurs permettent d’améliorer les éléments suivants :
· introspection de la base de registre,
· visibilité des DNS,
· visibilité des événements de connexion à Windows,
· visibilité de l’espace d’adressage RFC 1918,
· introspection de WMI via l’API Windows,
· introspection de PowerShell via l’API Windows.

Ampleur de la détection

Tout au long de l’évaluation, les solutions BlackBerry ont démontré les avantages de l’intelligence artificielle (IA) pour la détection des menaces. L’aspect MSSP (fournisseurs de services de sécurité managés) a été supprimé afin d’éliminer toute influence humaine sur le résultat des tests. Avec ces solutions, l’objectif est de minimiser les coûts associés aux interventions humaines, notamment les erreurs évitables, les délais de réponse étendus et les erreurs liées aux préjugés. Si des enquêtes et des analyses manuelles doivent toujours être exécutées par les équipes de sécurité, l’exclusion des détections réalisées par des MSSP montre comment la solution à base d’intelligence artificielle se comporte de façon autonome.

Détection de menaces à l’aide de l’intelligence artificielle de BlackBerry BlackBerry Protect, la solution de prévention à base d’intelligence artificielle, a détecté plusieurs fichiers dangereux et tentatives d’exploitation générales. BlackBerry Optics a secondé BlackBerry Protect en détectant des événements de script tout en fournissant des règles supplémentaires à propos de la détection des menaces.

BlackBerry Optics présente les données « focus data » (une chaîne d’informations connexes qui commence par le premier événement détecté) dans trois présentations Focus View accessibles. Focus View ne fait pas partie des fonctions automatisées ou à base d’IA de BlackBerry Optics, mais cet outil aide les analystes en collectant et en organisant les informations critiques relatives aux menaces. Pour ce faire, Focus View recrée les événements associés à la détection et fournit des détails contextuels (terminaux, description, type et date), ainsi que la relation entre chaque événement au sein de la chaîne. Les analystes de la sécurité peuvent identifier et traiter facilement les lacunes détectées et ainsi améliorer la posture de sécurité au sens large.

La fonction Focus View de BlackBerry Optics fournit une piste de navigation des événements critiques

Au cours de l’évaluation, BlackBerry Guard, la solution EDR accessible sur abonnement, a utilisé des fonctionnalités de BlackBerry Optics telles qu’InstaQuery pour la chasse aux menaces (« threat hunting »). InstaQuery permet aux administrateurs de rechercher rapidement des indicateurs de compromission (IoC), des activités suspectes ou toute information relative aux terminaux dans l’ensemble de l’environnement. Cet outil permet aux analystes de la sécurité d’accéder de façon simple et instantanée aux données forensiques pertinentes.
La fonction InstaQuery de BlackBerry Optics fournit une capacité de détection télémétrique instantanée
Lorsque les produits BlackBerry ne disposaient pas de capacité de télémétrie native pour des tactiques ou techniques particulières, les analystes de BlackBerry Guard ont utilisé les capacités de script intégrées à BlackBerry Optics pour récupérer et analyser les artefacts forensiques bruts sur les systèmes cibles.

Mappage contextuel

Il est capital de comprendre le contexte d’une attaque pour prendre des mesures correctives efficaces. Le test APT29 contenait 57 tactiques, techniques et procédures différentes. La solution BlackBerry Optics était directement mappée sur un grand nombre d’entre elles, de sorte qu’aucune configuration manuelle supplémentaire n’a été nécessaire pour que les détections puissent se produire. Les techniques non mappées peuvent être entièrement traitées en modifiant les ensembles de règles dans BlackBerry Optics. En fait, les équipes de BlackBerry ont précédemment vérifié l’efficacité de règles spécifiques créées dans BlackBerry Optics en travaillant avec d’autres frameworks dans l’optique de cette évaluation. BlackBerry Optics a obtenu de bons résultats lors de l’évaluation sans aucune configuration manuelle pour accompagner ses capacités de détection.

BlackBerry détecte plusieurs tactiques, techniques et procédures APT29 grâce à l’analyse contextuelle

BlackBerry Optics utilise un moteur d’analyse contextuelle (CAE) automatisé pour surveiller et corréler les événements suspects en temps quasi réel. Ce moteur permet aux analystes d’observer et de répondre aux événements manuellement, ou en créant des réponses automatiques associées à des règles spécifiques. Les réponses automatiques sont lancées à partir du terminal, ce qui élimine la latence dont pâtissent les solutions déployées sur le cloud ou managées à distance. Pour plus d’informations, rendez-vous sur l’article consacré au test framework ATT&CK® du MITRE sur le site de BlackBerry




Voir les articles précédents

    

Voir les articles suivants