MITRE vient juste de publier le résultat de l’évaluation sur les solutions de sécurité de type Endpoint Detection and Response (EDR). Les solutions proposées par Microsoft sont regroupées sous Microsoft Threat Protection et incluent notamment Microsoft Defender Advanced Threat Protection (ATP), etc. L’évaluation est basée sur le framework ATT&CK de MITRE, considéré comme l’un des catalogues de techniques et d’attaques le plus complet du marché. L’attaque utilisée est Cosy Bear connu sous Advanced Persistent Threat (APT) 29 avec 58 techniques d’attaque dans 10 catégories différentes.
Dans cette étude, les solutions doivent désactiver les mécanismes de protection habituels tels que les flux de remédiation automatique, isolation des applications, réduction de la surface d'attaque, protection du réseau, protection contre l'exploitation, accès contrôlé aux dossiers et l’antivirus de nouvelle génération. Le but est donc de tester les capacités d’audit des solutions.
Microsoft s’en sort avec les meilleurs délais et sans modification de configuration :
En outre, c’est l’une des solutions qui couvre le mieux les techniques d’attaque :
Ces deux éléments signifient que la solution est efficace tout en étant facile à mettre en œuvre.
Plus d’informations sur le résultat de l’étude : https://attackevals.mitre.org/evaluations.html?round=APT29
Source : Microsoft Threat Protection leads in real-world detection in MITRE ATT&CK evaluation
