Aktualizace: Více informací o hodnoceních MITRE ATT&CK v roce 2021 naleznete v příspěvku na blogu: Dekódování výsledků MITRE Engenuity ATT&CK® EVALUATIONS 2021
Níže jsou uvedeny výsledky hodnocení MITRE 2020 zveřejněné v dubnu 2020.
Dne 21. dubna byl zveřejněn dlouho očekávaný rámec hodnocení MITRE ATT&CK®. Vzhledem k tomu, že se v nejnovějších výsledcích hodnocení MITRE ATT&CK hlásí k úspěchu mnoho dodavatelů, může být obtížné v nich číst a zjistit, které řešení má pro vaši organizaci největší smysl.
My v Bitdefenderu poskytujeme také konkurenční grafy a zahrnujeme také úplné konkurenční pohledy, které ukazují nadřazenost našich technologií napříč celým prostředím dodavatelů v testech, které jsme považovali za reprezentativní pro naše tržní segmenty.
V nejnovějším hodnocení ATT&CK společnost Bitdefender zazářila v oblasti akčních detekcí a výstrah ve všech krocích celého řetězce útoků, čímž potvrdila svou špičkovou vhodnost pro středně velké organizace s omezenými zdroji a dovednostmi, které touží rozšířit své možnosti EDR, ale obávají se složitosti těchto řešení.
Pokud chcete na základě ATT&CK zvážit Bitdefender jako dodavatele EDR, zde je několik klíčových kategorií z ATT&CK, které nejlépe odpovídají potřebám tohoto typu organizací, a jak si Bitdefender stojí v každé z nich.
Získejte co nejúplnější a nejsmysluplnější pokrytí útočného řetězce
Při hodnocení výsledků ATT&CK je nejlepší začít tím, jak dobře dodavatel pokryl 19-stupňový řetězec útoku, od počátečního napadení až po konečné zvýšení oprávnění.
Výsledky ATT&CK jednoznačně ukazují, jak společnost Bitdefender dosáhla maximálního pokrytí celého řetězce útoku, když nevynechala ani jeden krok. Kromě šíře pokrytí Bitdefender také v každém kroku objevuje více detekcí technik, taktik a obecných informací (což jsou nejdůležitější kategorie pro středně velké organizace a MSP, které jsou často omezeny zdroji, dovednostmi a časem) a hledají co nejpřesnější zpracovaná data EDR, nikoli pouze telemetrii.
Níže uvedený graf zobrazuje zúžený pohled na naši hlavní konkurenci na těchto trzích. Zde si také můžete prohlédnout úplný graf všech zúčastněných dodavatelů.
Proč se zaměřit na obecné, taktické a technické aspekty? Podle definic MITRE jsou poslední tři kategorie detekce nejvíce kontextuální. Zatímco Telemetrie vyžaduje interní bezpečnostní expertízu, která bude prohledávat historická data, a MSSP jsou indikátory poskytované externími řízenými službami detekce a reakce, poslední tři kategorie jsou ty, které poskytují nejvíce intuitivní detekci poskytovanou přímo produktem, pro interní bezpečnostní operační týmy.
Zatímco například telemetrická detekce by vám na výstupu příkazového řádku řekla, že určitý příkaz byl spuštěn pracovní stanicí pod daným uživatelským jménem, technická detekce by vám řekla, že se proces pokusil provést neoprávněný boční pohyb (v případě produktu Bitdefender jako součást vizuálně bohatého zobrazení).
Zvýšení šancí na odhalení sofistikovaných útoků. Získejte nejvíce kontextových detekcí v celém řetězci útoků
Bitdefender nejenže pokrývá všechny kroky útočného řetězce vysoce kvalitními kategoriemi detekce, ale poskytuje také vysoký počet technik, taktik a obecných detekcí v celém řetězci klíčů.
Bitdefender dokázal vytvořit celkem 97 detekcí napříč všemi 19 kroky útoku. Vzhledem k tomu, že tato čísla jsou zaměřena také na 3 nejkontextovější detekce podle společnosti MITRE, organizace, které hledají široký přehled, získají od společnosti Bitdefender indikátory podezřelých aktivit napříč celým útočným řetězcem.
To potvrzuje, že bezpečnostní administrátoři budou mít nejlepší šance na odhalení podezřelých aktivit indikujících sofistikovaný probíhající útok, stejně jako více šancí na okamžité určení a zastavení řetězce útoku před exfiltrací informací.
Tato skóre lze snadno získat pouhým zrušením výběru prvních tří kategorií ze zobrazení MITRE ATT&CK. Ukáže, jak si jednotliví dodavatelé vedou při poskytování smysluplných detekcí v každém kroku útoku, od počáteční kompromitace až po exfiltraci a zakrytí stop. Čím je reprezentace dat zelenější, tím je pro bezpečnostní tým přehlednější.
Snímek obrazovky z hodnocení MITRE ATT&CK APT29 ukazuje, že Bitdefender detekuje každý krok celého útoku se smysluplnými detekcemi, s výjimkou hrubých kategorií (telemetrie a MSSP) a žádné.
Poznámka: Krok Clean Up prezentovaný v grafu již není společností MITRE brán v úvahu.
Aktuální definice MITRE z jejich webových stránek:
Telemetrie. Minimálně zpracovaná data shromážděná schopností, která ukazují, že došlo k události (událostem) specifické pro testované chování. (tj. ukazující postup/příkaz, který byl proveden).
Techniky. Zpracovaná data specifikující techniku ATT&CK nebo ekvivalentní úroveň obohacení dat shromážděných schopností.
Úplné definice jsou k dispozici zde.
Níže uvedený graf zobrazuje ořezaný pohled na naši základní soutěž pro vytvořené kontextové detekce útoků. Zde si také můžete prohlédnout úplný graf v porovnání se všemi zúčastněnými dodavateli.
Nejúčinnější EDR na trhu. Nejvyšší počet detekcí útočných technik ze všech prodejců
Stejně důležité pro rozsah detekce společnosti Bitdefender v celém řetězci útoků je její jasné zaměření na upřednostňování technik útoku před každým jiným typem detekce, což je klíčový prvek, který pomáhá organizacím jakékoli velikosti správně dešifrovat škodlivé aktivity vysoce zkušených útočníků.
Snímky z webových stránek MITRE nejen naznačují, že Bitdefender spustí relevantní a plně kontextualizované detekce v každém kroku řetězce útoku, ale také poskytne většinu v podobě technik útoku, nejsnadněji interpretovatelných a nejvíce použitelných detekcí EDR pro bezpečnostní týmy s omezenými zdroji a dovednostmi.
Bitdefender dominuje žebříčkům MITRE ATT&CK Evaluation s 68 upozorněními na techniky a s ohromujícím odstupem 15 upozornění od dalšího konkurenta v pořadí (FireEye), a ještě větším rozdílem od ostatních hlavních konkurentů.
Níže uvedený graf zobrazuje očištěný pohled na naši hlavní konkurenci v oblasti technik útoku. Zde si také můžete prohlédnout úplný graf ve srovnání se všemi zúčastněnými dodavateli.
Pro představu o hodnotě detekce jako techniky útoku a bohatosti kontextu pro menší bezpečnostní týmy, je níže uvedeno několik příkladů z konzole společnosti Bitdefender, které ukazují, jak jsou naše detekce mapovány podle rámce MITRE ATT&CK, a také rozsah podrobných informací poskytovaných na kartě detekce.
První případ ukazuje krok 8 řetězce útoku APT29, přičemž konzola jasně specifikuje, že se Powershell pokouší o boční pohyb.
Dalším dobrým příkladem je počáteční sběr a exfiltrace dat útoku APT29 (krok 7, dílčí krok 7.B.4 - výsledek techniky T1048). Jak je vidět na snímku obrazovky níže, Bitdefender zachytil jako techniku útoku a oznámil v administraci, že "komprimovaný soubor byl přenesen přes síť", čímž poskytl jasné a akční upozornění spolu s úplným seznamem markerů pro další vyšetřování.
Oba příklady ukazují rozsah detekcí společnosti Bitdefender v různých fázích útočného řetězce APT, včetně relevantních a plně kontextualizovaných výstrah a silného poměru technik útoku.
Hodnocení MITRE ATT&CK je pro praktiky komplexnějším nástrojem. Ostatní hodnocení mluví sama za sebe
Cílem studie MITRE není určit vítěze nebo seřadit dodavatele mezi sebou, ale stát se účinným nástrojem pro pracovníky v oblasti bezpečnosti, kteří chtějí určit nejlepší řešení EDR pro své týmy. Existují však i další nezávislé testovací organizace zaměřené na pracovníky s rozhodovací pravomocí, které rovněž poskytují analýzu výsledků na vysoké úrovni a určují dodavatele.
Díky úspěšnému dokončení hodnotícího testování ATT&CK, a vynikajícím výsledkům v identifikaci a upozorňování v celém řetězci útoků, společnost Bitdefender opět potvrdila svou silnou nabídku EDR, čímž navázala na vynikající výsledky ve Forrester Wave™ pro EDR (březen 2020), kde byla nominována na "Největšího dodavatele EDR, o kterém jste neuvažovali, ale měli byste".
Bitdefender je také doporučeným dodavatelem NSS Labs A+ (únor 2020), vítězem ceny AV-Test Best Protection Award (únor 2020) a dodavatelem se 100% skóre v prvním testování AV-Comparatives proti pokročilým útokům (prosinec 2019).
Pokud chcete zabezpečit svou infrastrukturu, vyzkoušejte bezplatnou testovací 45 denní plnohodnotnou testovací licenci produktu GravityZone Ultra Plus.
Společnost Bitdefender je oblíbeným dodavatelem technologií - 38 % dodavatelů kybernetické bezpečnosti na celém světě používá jednu nebo více technologií Bitdefender. Aby si společnost Bitdefender udržela vysokou kvalitu a přesnost detekce, je i nadále odhodlána vyvíjet technologie ve vlastní režii a udržovat více než 50 % svých zaměstnanců v týmech výzkumu a vývoje.