20. dubna byly zveřejněny výsledky posledního kola každoročního hodnocení bezpečnostních řešení MITRE ATT&CK®. Letos bylo testováno 29 bezpečnostních řešení od předních společností v oblasti kybernetické bezpečnosti, včetně společností Bitdefender, Crowdstrike a Microsoft, a to z hlediska jejich schopnosti odhalit techniky a taktiky Carbanak a FIN7.
Tyto známé kyberzločinecké skupiny způsobily spoušť tím, že pomocí sofistikovaného malwaru a technik napadly organizace poskytující finanční služby a společnosti v oblasti pohostinství. Carbanak způsobil stovkám bank ve 30 zemích (k dnešnímu dni) škody za více než 300 milionů dolarů, zatímco FIN7 exfiltroval více než 15 milionů záznamů o kreditních kartách obětí po celém světě.
V čem jsou hodnocení MITRE ATT&CK jedinečná a vysoce ceněná?
Hodnocení MITRE ATT&CK Evaluations využívají metodiku, která je mezi průmyslovými testy kybernetické bezpečnosti jedinečná. Namísto pouhého testování schopnosti řešení detekovat a blokovat kybernetické hrozby, společnost MITRE pečlivě emuluje kompletní chování sofistikovaných útoků (v předchozích kolech tak učinila v případě útoků APT3 nebo APT29, a v tomto nejnovějším kole v případě útoků Carbanak/FIN7). Společnost MITRE vyžaduje, aby blokovací funkce testovaných produktů byly během hodnocení vypnuty. Tento přístup podrobně odhaluje schopnosti různých technologických vrstev zabudovaných v řešeních detekovat, analyzovat, poskytovat telemetrii a přehled o všech fázích/podfázích řetězce útoku.
Rozsáhlá znalostní báze MITRE ATT&CK je pro vytvoření metodiky testování zásadní, protože poskytuje společný slovník a sladění v celém odvětví kybernetické bezpečnosti. Hodnota hodnocení MITRE ATT&CK spočívá ve schopnosti analyzovat robustnost a úplnost testovaných řešení. Díky tomu je test vysoce relevantní pro organizace, které se zajímají nejen o schopnost automatického blokování útoků, ale také pro ty, které chtějí bojovat proti pokročilým útokům ve všech fázích jejich provádění. Využití přístupu MITRE v bezpečnostních operacích výrazně zvyšuje kybernetickou odolnost organizace a šance kybernetických obránců na odhalení a získání cenných poznatků o aktivitách protivníka.
Jak můžete výsledky využít při rozhodování o kybernetické bezpečnosti?
Neobvyklým rysem hodnocení MITRE je absence konkurenčních žebříčků, což umožňuje různé interpretace, které znesnadňují orientaci ve výsledcích. To by nemělo komunitu kybernetické bezpečnosti odradit od zkoumání analýzy, protože úsilí vynaložené na pochopení údajů se vyplatí. Výsledky poskytují hluboké pochopení chování testovaných řešení a představují vynikající doplněk k dalším oborovým testům. Začněme zřejmou, ale významnou poznámkou, že neexistuje jediný "správný pohled" na výsledky hodnocení MITRE ATT&CK Evaluations. Hodnotitelé však poskytují několik tipů, jak data nejlépe interpretovat. Klíčové metriky použité pro prezentaci dat jsou následující:
Detekce (Detections) - veškeré nezpracované nebo zpracované informace, které lze použít k identifikaci chování protivníka. Tato metrika zahrnuje nezpracovanou telemetrii (například spuštění procesu nebo vytvoření souboru) a analytické detekce (například obecná detekce, taktika nebo techniky útoku). Počet detekcí představuje součet detekcí všech typů. Všimněte si, že kterýkoli ze 174 dílčích kroků zahrnutých do útoku, může mít více než 1 detekci (celkový počet detekcí tedy může přesáhnout počet dílčích kroků).
Pokrytí telemetrie (Telemetry Coverage) - počet dílčích kroků, u nichž byla k dispozici telemetrie.
Analytika (Analytic)- jakákoli zpracovaná detekce, například pravidlo nebo logika aplikovaná na telemetrii (např. mapování technik ATT&CK nebo popisy výstrah).
Analytické pokrytí (Analytic Coverage) - počet dílčích kroků, ve kterých byl k dispozici 1 nebo více analytických údajů.
Viditelnost (Visibility)- počet dílčích kroků, ve kterých byla k dispozici analytika nebo telemetrie.
Které metriky jsou pro vaši organizaci relevantní?
Dále byste měli zjistit, které metriky jsou pro vás nejdůležitější. To bude záviset na profilu vaší organizace. Detekce jsou samozřejmě relevantní pro každou organizaci, protože čím více prvků útoku je řešení schopno odhalit, tím je obecně řečeno efektivnější. Telemetrie je cennou metrikou v kontextu organizace, která disponuje operačním centrem zabezpečení (SOC), kde existují nástroje, zdroje a know-how pro další analýzu nezpracovaných informací. Ve srovnání s nezpracovanou telemetrií poskytují analytické metriky kontext detekcí. Analytika, kterou lze využít, pomáhá snižovat riziko únavy z výstrah a snižovat úsilí, které musí bezpečnostní analytici vynaložit na vyšetřování. Díky tomu je Analytika velmi cennou metrikou pro organizace s týmy IT a bezpečnostními operacemi s omezenými zdroji. Celková viditelnost je kombinací hrubých detekcí (Telemetry Coverage) a kontextualizovaných výstrah (Analytics Coverage), které poskytují celkový pohled na schopnost řešení zajistit viditelnost jednotlivých elementů útoku.
Jak číst výsledky Bitdefenderu z nejnovějšího hodnocení MITRE Engenuity ATT&CK® EVALUATIONS
Společnost Bitdefender se již podruhé rozhodla zúčastnit hodnocení MITRE ATT&CK, protože se jedná o důvěryhodný oborový rámec, který je vysoce ceněn průmyslovými analytiky a organizacemi, hledajícími spolehlivé a účinné řešení pro detekci a reakci v oblasti kybernetické bezpečnosti. Letošní výsledky znovu potvrdily to, co odhalilo i předchozí kolo: Bitdefender GravityZone má výjimečnou schopnost detekovat kroky a dílčí kroky útoku, doplněnou o bohatý a použitelný kontext téměř všech detekovaných akcí.
S celkovým počtem 366 detekcí (obr. 1) dosáhl Bitdefender nejvyššího počtu detekcí z 29 dodavatelů kybernetické bezpečnosti, kteří se zúčastnili hodnocení MITRE Engenuity ATT&CK. Toto kolo ukázalo, že Bitdefender GravityZone je vedoucím řešením pro detekci nejširšího spektra kybernetických hrozeb s téměř o 50 % vyšším počtem detekcí, než je průměrný počet detekcí mezi hodnocenými dodavateli.
Obrázek 1 - Počet detekcí představuje součet detekcí všech typů, včetně hrubé telemetrie (jako je spuštění procesu nebo vytvoření souboru) a analytické detekce (jako je obecná detekce, taktika nebo techniky útoku). Zdroj: https://attackevals.mitre-engenuity.org/enterprise/participants/
Bitdefender se ve výsledcích také vyznačuje tím, že umožňuje efektivní bezpečnostní operace a snižuje únavu z upozornění tím, že poskytuje analytické poznatky pro 96 % všech detekcí. Obrázek 2 zobrazuje, jak jsou detekce dílčích kroků doplněny o obecné podrobnosti a/nebo náhledy na použité taktiky či techniky. Pro srovnání, mnoho dalších hodnocených dodavatelů generovalo velké objemy telemetrie bez dalšího kontextu, což vyžaduje hlubší zkoumání již tak zatížených bezpečnostních týmů.
Obrázek 2 - Analytické detekce pro každý dílčí krok scénáře útoku Carbanak. Zdroj: ATT&CK® EVALUATIONS (mitre-engenuity.org)
Díky výjimečné přesnosti, kontextově bohatým výstrahám a podpoře více operačních systémů, včetně 100% detekce útočných technik pro systémy Linux, prokázal Bitdefender GravityZone, že je chytrou volbou pro organizace, které chtějí zvýšit kybernetickou odolnost svých heterogenních prostředí pomocí jednotné platformy kybernetické bezpečnosti, která nabízí nejvyšší míru detekce a použitelných výstrah.