20. apríla boli zverejnené výsledky posledného kola každoročného hodnotenia bezpečnostných riešení MITRE ATT&CK®. Tento rok bolo testovaných 29 bezpečnostných riešení od popredných spoločností v oblasti kybernetickej bezpečnosti, vrátane spoločností Bitdefender, Crowdstrike a Microsoft, a to z hľadiska ich schopnosti odhaliť techniky a taktiky Carbanak a FIN7.
Tieto známe kyberzločinecké skupiny spôsobili spúšť tým, že pomocou sofistikovaného malwaru a techník napadli organizácie poskytujúce finančné služby a spoločnosti v oblasti pohostinstva. Carbanak spôsobil stovkám bánk v 30 krajinách (k dnešnému dňu) škody za viac ako 300 miliónov dolárov, zatiaľ čo FIN7 exfiltroval viac ako 15 miliónov záznamov o kreditných kartách obetí po celom svete.
V čom sú hodnotenia MITRE ATT&CK jedinečné a vysoko cenené?
Hodnotenia MITRE ATT&CK Evaluations využívajú metodiku, ktorá je medzi priemyselnými testami kybernetickej bezpečnosti jedinečná. Namiesto jednoduchého testovania schopnosti riešenia detekovať a blokovať kybernetické hrozby, spoločnosť MITRE starostlivo emuluje kompletné správanie sofistikovaných útokov (v predchádzajúcich kolách tak urobila v prípade útokov APT3 alebo APT29 a
v tomto najnovšom kole v prípade útokov Carbanak/FIN7). Spoločnosť MITRE vyžaduje, aby blokovacie funkcie testovaných produktov boli počas hodnotenia vypnuté. Tento prístup podrobne odhaľuje schopnosti rôznych technologických vrstiev zabudovaných v riešeniach detekovať, analyzovať, poskytovať telemetriu a prehľad o všetkých fázach/podfázach reťazca útoku.
Rozsiahla znalostná báza MITRE ATT&CK je pre vytvorenie metodiky testovania zásadná, pretože poskytuje spoločný slovník a zladenie v celom odvetví kybernetickej bezpečnosti. Hodnota hodnotenia MITRE ATT&CK spočíva v schopnosti analyzovať robustnosť a úplnosť testovaných riešení. Vďaka tomu je test vysoko relevantný pre organizácie, ktoré sa zaujímajú nielen o schopnosť automatického blokovania útokov, ale aj pre tie, ktoré chcú bojovať proti pokročilým útokom vo všetkých fázach ich vykonávania. Využitie prístupu MITRE v bezpečnostných operáciách výrazne zvyšuje kybernetickú odolnosť organizácie a šance kybernetických obrancov na odhalenie a získanie cenných poznatkov
o aktivitách protivníka.
Ako môžete výsledky využiť pri rozhodovaní
o kybernetickej bezpečnosti?
Neobvyklým rysom hodnotenia MITRE je absencia konkurenčných rebríčkov, čo umožňuje rôzne interpretácie, ktoré sťažujú orientáciu vo výsledkoch. To by nemalo komunitu kybernetickej bezpečnosti odradiť od skúmania analýzy, pretože úsilie vynaložené na pochopenie údajov sa oplatí. Výsledky poskytujú hlboké pochopenie správania testovaných riešení a predstavujú vynikajúci doplnok k ďalším odborovým testom.Začnime zrejmou, ale významnou poznámkou, že neexistuje jediný "správny pohľad" na výsledky hodnotenia MITRE ATT&CK Evaluations. Hodnotitelia však poskytujú niekoľko tipov, ako dáta najlepšie interpretovať. Kľúčové metriky použité na prezentáciu údajov sú nasledovné:
Detekcia (Detections) - všetky nespracované alebo spracované informácie, ktoré možno použiť na identifikáciu správania protivníka. Táto metrika zahŕňa nespracovanú telemetriu (napríklad spustenie procesu alebo vytvorenie súboru) a analytické detekcie (napríklad všeobecná detekcia, taktika alebo techniky útoku). Počet detekcií predstavuje súčet detekcií všetkých typov. Všimnite si, že ktorýkoľvek zo 174 čiastkových krokov zahrnutých do útoku, môže mať viac ako 1 detekciu (celkový počet detekcií teda môže presiahnuť počet čiastkových krokov).
Pokrytie telemetrie (Telemetre Coverage) - počet čiastkových krokov, pri ktorých bola k dispozícii telemetria.
Analytika (Analytic)- akákoľvek spracovaná detekcia, napríklad pravidlo alebo logika aplikovaná na telemetriu (napr. mapovanie techník ATT&CK alebo popisy výstrah).
Analytické pokrytie (Analytic Coverage) - počet čiastkových krokov, v ktorých bol k dispozícii 1 alebo viac analytických údajov.
Viditeľnosť (Visibility)- počet čiastkových krokov, v ktorých bola k dispozícii analytika alebo telemetria.
Ktoré metriky sú pre vašu organizáciu relevantné?
Ďalej by ste mali zistiť, ktoré metriky sú pre vás najdôležitejšie. To bude závisieť od profilu vašej organizácie. Detekcie sú samozrejme relevantné pre každú organizáciu, pretože čím viac prvkov útoku je riešenie schopné odhaliť, tým je všeobecne povedané efektívnejšie. Telemetria je cennou metrikou v kontexte organizácie, ktorá disponuje operačným centrom zabezpečenia (SOC), kde existujú nástroje, zdroje a know-how pre ďalšiu analýzu nespracovaných informácií. V porovnaní s nespracovanou telemetriou poskytujú analytické metriky kontext detekcií. Analytika, ktorú je možné využiť, pomáha znižovať riziko únavy z výstrah a znižovať úsilie, ktoré musia bezpečnostní analytici vynaložiť na vyšetrovanie. Vďaka tomu je Analytika veľmi cennou metrikou pre organizácie s tímami IT a bezpečnostnými operáciami s obmedzenými zdrojmi. Celková viditeľnosť je kombináciou hrubých detekcií (Telemetre Coverage) a kontextualizovaných výstrah (Analytics Coverage), ktoré poskytujú celkový pohľad na schopnosť riešenia zaistiť viditeľnosť jednotlivých elementov útoku.
Ako čítať výsledky Bitdefendru z najnovšieho hodnotenia MITRE Engenuity ATT&CK® EVALUATIONS
Spoločnosť Bitdefender sa už druhýkrát rozhodla zúčastniť hodnotenia MITRE ATT&CK, pretože sa jedná o dôveryhodný odborový rámec, ktorý je vysoko cenený priemyselnými analytikmi a organizáciami, hľadajúcimi spoľahlivé a účinné riešenie pre detekciu a reakciu v oblasti kybernetickej bezpečnosti. Tohtoročné výsledky znovu potvrdili to, čo odhalilo aj predchádzajúce kolo: Bitdefender GravityZone má výnimočnú schopnosť detekovať kroky a čiastkové kroky útoku, doplnenú o bohatý a použiteľný kontext takmer všetkých detekovaných akcií.
S celkovým počtom 366 detekcií (obr. 1) dosiahol Bitdefender najvyšší počet detekcií z 29 dodávateľov kybernetickej bezpečnosti, ktorí sa zúčastnili hodnotenia MITRE Engenuity ATT&CK. Toto kolo ukázalo, že Bitdefender GravityZone je vedúcim riešením pre detekciu najširšieho spektra kybernetických hrozieb s takmer o 50 % vyšším počtom detekcií, než je priemerný počet detekcií medzi hodnotenými dodávateľmi..
Obrázok 1 - Počet detekcií predstavuje súčet detekcií všetkých typov, vrátane hrubej telemetrie (ako je spustenie procesu alebo vytvorenie súboru) a analytickej detekcie (ako je všeobecná detekcia, taktika alebo techniky útoku). Zdroj: https://attackevals.mitre-engenuity. org/enterprise/participants/
Bitdefender sa vo výsledkoch tiež vyznačuje tým, že umožňuje efektívne bezpečnostné operácie a znižuje únavu z upozornenia tým, že poskytuje analytické poznatky pre 96 % všetkých detekcií. Obrázok 2 zobrazuje, ako sú detekcie čiastkových krokov doplnené o všeobecné podrobnosti a/alebo náhľady na použité taktiky či techniky. Pre porovnanie, mnoho ďalších hodnotených dodávateľov generovalo veľké objemy telemetrie bez ďalšieho kontextu, čo si vyžaduje hlbšie skúmanie už aj tak zaťažených bezpečnostných tímov.
Obrázok 2 - Analytické detekcie pre každý čiastkový krok scenára útoku Carbanak.Zdroj: ATT&CK® EVALUATIONS (mitre-engenuity .org)
Vďaka výnimočnej presnosti, kontextovo bohatým výstrahám a podpore viacerých operačných systémov, vrátane 100% detekcie útočných techník pre systémy Linux, preukázal Bitdefender GravityZone, že je rozumnou voľbou pre organizácie, ktoré chcú zvýšiť kybernetickú odolnosť svojich heterogénnych prostredí pomocou jednotnej platformy kybernetickej bezpečnosti, ktorá ponúka najvyššiu mieru detekcie a použiteľných výstrah.