20. září byly zveřejněny výsledky MITRE Engenuity ATT&CK Evaluations 2023 pro podniková bezpečnostní řešení. V letošním roce Bitdefender odhalil 100 % kroků útoku a zároveň poskytl nejvyšší možnou úroveň popisu simulovaného chování protivníka pro každý krok.
Bitdefender dosáhl tohoto výsledku již třetí rok po sobě, kdy se účastní MITRE Engenuity ATT&CK Evaluations. Letos se hodnocení zúčastnilo 31 dodavatelů, a posuzovala se přitom schopnost produktu odhalovat a chránit před taktikami a technikami simulovaného protivníka. Páté kolo hodnocení MITRE ATT&CK se zaměřilo na určení schopností bezpečnostních produktů proti chování protivníka inspirovaného skupinou Turla, sofistikovanou hrozbou pocházející z Ruska, která infikovala oběti ve více než 45 zemích.
Tento článek přináší několik nástrojů pro důkladné prostudování těchto dat. V kombinaci s dalšími informacemi vám tyto poznatky pomohou pochopit a efektivně využít výsledky pro potřeby vaší organizace. Patří sem i zkoumání významu hodnocení ATT&CK pro získání přehledu o skutečných detekčních schopnostech dodavatele.
Proč je MITRE Engenuity ATT&CK Evaluations důležité
ATT&CK Evaluations si získalo oblibu jako důležitý zdroj objektivních informací o schopnostech bezpečnostních produktů, a doplňuje další důvěryhodné nezávislé testy organizací, jako jsou AV-Comparatives a AV-TEST.
MITRE Engenuity je mezi podobnými organizacemi jedinečná tím, že využívá své odborné znalosti, a znalostní základnu ATT&CK, k vytvoření komplexní a důkladné emulace útoku inspirované taktikami a technikami, používanými jednotlivými útočnými skupinami. Při testu detekce je schopnost produktů blokovat škodlivé aktivity deaktivována, což umožňuje týmu MITRE zaměřit se na určení detekčních schopností, včetně úrovně podrobností nebo kontextu poskytovaného bezpečnostními nástroji. Na rozdíl od jiných nezávislých bezpečnostních testů, výsledky ATT&CK Evaluations nevyhlašují "vítěze", ani neurčují pořadí dodavatelů. Je tomu tak proto, že, jak je uvedeno na webových stránkách MITRE, "neexistuje žádný jednotný způsob analýzy, hodnocení nebo klasifikace řešení", ale tato hodnocení odrážejí jedinečný přístup každého dodavatele k detekci hrozeb.
Rozklíčování výsledků MITRE ATT&CK
Ačkoli je zde množství informací, které mohou na první pohled působit nepřehledně, ATT&CK Evaluations jsou bohatým zdrojem objektivních poznatků, které by měl každý využít. Nejdůležitější je interpretace výsledků z hlediska potřeb vaší organizace. Zatímco Bitdefender odhalil 100 % kroků útoku, mohou existovat dílčí kroky (a těch je mnoho), kterých si vaše organizace cení více než agregovaných kroků.
Například existuje užitečný návod od organizace MITRE, jak využít výsledky k hodnocení produktů. Některá z těchto doporučení budeme citovat, spolu s vlastní analýzou letošních výsledků Turla.
Letos tým MITRE hodnotil detekční schopnosti každého produktu podnikového zabezpečení v 19 hlavních krocích, a 143 dílčích krocích, které napodobovaly vypozorované taktiky a techniky nechvalně známé skupiny Turla.
Pro klasifikaci různých typů detekcí použila organizace MITRE ATT&CK kategorie detekcí, přičemž každá z nich navazuje na předchozí a doplňuje je o další souvislosti:
NEUPLATŇUJE SE
Žádné
Telemetrie (minimálně zpracovaná data ukazující, že došlo k událostem)
Obecné (zpracované údaje, které uvádějí, že došlo k škodlivé/neobvyklé události)
Taktika (správně identifikuje cíl, kterého se snažil protivník dosáhnout)
Technika (rovněž identifikuje způsob, jakým byla akce provedena)
Pro jednotlivé dílčí kroky emulace se zaznamená nejvyšší úroveň detekce pro každý produkt.
Chcete-li prozkoumat výsledky na webu MITRE, můžete porovnat detekce dodavatele v jednotlivých technikách nebo dílčích krocích, nebo se podívat na počty bodů na nejvyšší úrovni pro analytický rozsah (zahrnuje obecné, taktické nebo technické detekce), telemetrický rozsah a visibilitu (telemetrický nebo analytický rozsah).
Výběr správných metrik, které nejlépe odpovídají vašim potřebám, je ovlivněn faktory, jako jsou odborné znalosti vašeho týmu, dostupný čas a zdroje, a přijatelná úroveň rušivých vlivů.
Počet dílčích kroků v hodnoceních MITRE 2023 se zvýšil ze 109 na 143, přičemž některé techniky mají větší dopad nebo význam pro odhalení potenciálního útoku než jiné. To ukazuje na omezení nerozlišujícího počítání detekcí. Podle organizace MITRE "lze předpokládat, že vyšší počet analytických detekcí je lepší, ale vysoký počet může znamenat možnost zahlcení analytika falešně pozitivními, nebo potenciálně nadbytečnými výstrahami".
Z našeho pohledu je pro většinu organizací důležitá především metrika detekce hlavních kroků útoku s kontextem na úrovni techniky. Detekce relevantních technik ve všech těchto krocích, umožňuje týmům útok zastavit. Další a hlubší úroveň analýzy letošních výsledků se zabývá schopnostmi produktů, pokud jde o detekci konkrétních technik nebo dílčích kroků, které jsou pro váš tým důležité a relevantní.
Výsledky Bitdefenderu: Jasné informace s minimálním šumem a komplexním přístupem
Bitdefender GravityZone dosáhl 100% detekce 19 kroků útoku v pátém kole hodnocení MITRE Engenuity ATT&CK Evaluations pro podnikovou bezpečnost, a nabízí podrobnosti o technice každého z kroků, které by týmům SOC umožnily útok odhalit a zastavit. Je to již třetí rok po sobě, kdy společnost Bitdefender dokáže odhalit a poskytnout využitelné informace o každém z kroků útoku v hodnocení ATT&CK Evaluations.
Po prostudování výsledků jsme zaznamenali analytické detekce u dílčích kroků, které jsme chtěli podchytit, a vyhnuli jsme se upozorňování na ty, které by mohly pro bezpečnostní týmy vytvářet zbytečný šum.
Pro lepší pochopení výsledků a rozhodnutí, které řešení dodavatele je pro váš tým vhodnější, doporučujeme porovnat výsledky dodavatelů v konkrétních dílčích krocích, a zároveň zvážit, které jsou pro vás důležité a na které byste nechtěli být upozorňováni.
Přístup Bitdefenderu k detekci a reakci na koncových bodech (EDR), a rozšířené detekci a reakci (XDR), je zaměřen na to, aby analytici, bez ohledu na velikost týmu a úroveň odborných znalostí, mohli rychle a přesně identifikovat útoky a reagovat na ně. Prvním krokem k dosažení tohoto cíle je snížení úrovně únavy z výstrah, prostřednictvím prezentace vysoce přesných detekcí a automaticky tříděných a korelovaných incidentů, které minimalizují šum a snižují pravděpodobnost, že se skutečné hrozby ztratí v záplavě irelevantních výstrah. Kontext, který lze využít a který je prezentován lidsky čitelným způsobem, a jednoduchá doporučení k reakci, pomáhají i týmům s nedostatečnými zdroji rychle reagovat, zatímco funkce, jako je Live Search, podporují pokročilé vyhledávání hrozeb.
Závěry a doporučení
Vzhledem k tomu, že se mnoho organizací potýká s problémem únavy z výstrah, nedostatkem dovedností, nedostatečným přehledem nebo neefektivními pracovními postupy SecOps, zůstávají hodnocení MITRE ATT&CK klíčovým zdrojem objektivních a transparentních informací o schopnostech různých nástrojů pro detekci a reakci.
Organizace MITRE se vyhýbá stanovování žebříčků, protože ty neodrážejí specifické problémy a potřeby každé organizace. Místo toho musí každá organizace prozkoumat nuance výsledků hodnocení ATT&CK Evaluations, aby pochopila, jak se různé přístupy pravděpodobně budou chovat v reálném prostředí. Zkoumání těchto výsledků může být užitečným krokem při rozhodování, která z uvedených řešení jsou kandidáty na efektivní řešení problémů, s nimiž se váš tým potýká.
Při porozumění výsledkům letošního hodnocení MITRE ATT&CK je důležité zaměřit se na dodavatele, kteří v hodnocení ATT&CK Evaluations rok co rok dosahují stabilně dobrých výsledků, a podívat se na další důvěryhodná nezávislá hodnocení, která doplňují hodnocení MITRE, jako jsou AV-Comparatives a AV-TEST. Tato hodnocení zdůrazňují důležité aspekty, které nejsou zahrnuty v hodnocení MITRE, jako jsou: účinnost včasné prevence nebo ochrany, míra falešně pozitivních výsledků, dopad na výkon, použitelnost a návratnost investic (ROI).