S rastúcim objemom, sofistikovanosťou kybernetických útokov a zvyšujúcou sa priepasťou v zručnostiach v oblasti kybernetickej bezpečnosti, sa mnoho organizácií obracia na služby riadenej detekcie a reakcie (MDR). Nájsť správneho poskytovateľa MDR však môže byť skutočný problém. Ako zistiť, či dokáže držať krok s dnešnými sofistikovanými kybernetickými hrozbami? Práve tu prichádza na rad hodnotenie MITRE, ktoré pomáha organizáciám urobiť múdrejšie rozhodnutie tým, že poskytuje cenné informácie o riadených službách od jedenástich rôznych dodávateľov. Prečítajte si prehľad kľúčových faktorov, ktoré vám pomôžu urobiť najlepšie rozhodnutie pre vaše potreby v oblasti kybernetickej bezpečnosti.
The MITRE ATT&CK® Evaluations for Managed Services
V tomto ročníku MITRE Engenuity ATT&CK® Evaluations boli na posúdenie jednotlivých zúčastnených dodávateľov použité viacvláknové útoky. Prvý napodobňoval taktiku a techniky útoku kyberzločineckej skupiny menu Pass . Tá je známa tým, že sa celosvetovo orientuje na rôzne priemyselné odvetvia a zameriava sa na krádeže citlivých informácií, ako je duševné vlastníctvo. Útoky sú známe tým, že využívajú techniky "living-off-the-land", aby sa vyhli odhaleniu, a využívajú vzťahy s tretími stranami na krádež poverenia.
Druhý z nich využíval ransomware BlackCat , napísaný v jazyku RUST. Tento ransomware je agnostický voči operačným systémom a je schopný útočiť na systémy Windows a Linux v rôznych odvetviach. BlackCat je navrhnutý tak, aby narušoval obranu systému, šifroval dáta a bránil procesom obnovy. Oba scenáre predstavujú adekvátne príklady typov útokov, ktoré sa zameriavajú na súčasné spoločnosti.
Výsledky
Hoci je pre nás dosiahnutie dobrého výsledku v hodnotení MITRE MDR rozhodne dôvodom na hrdosť, jediné skóre nemôže vystihnúť celý príbeh. Tieto hodnotenia sú cenné najmä preto, že sa zaoberajú celým radom vzájomne prepojených ukazovateľov, ktoré poskytujú diferencovanejší obraz o schopnostiach dodávateľa. Je však dôležité posudzovať údaje v kontexte, pretože niektorí dodávatelia sa môžu rozhodnúť zamerať sa na konkrétne metriky tak, aby to pre nich bolo výhodné.
Predstavíme vám kľúčové ukazovatele z nášho hodnotenia MITRE Managed Services a vysvetlíme, čo pre vás znamenajú. Preskúmame aj niektoré kvalitatívne aspekty, ako je štýl reportovania, ktoré je možné vyčítať z komunikácie s dodávateľom, poskytnuté organizáciou MITRE. Tento prístup vám pomôže pochopiť, ako sa naše výkony premietajú do vašich konkrétnych bezpečnostných potrieb.
OBRÁZOK 1: V tabuľke sú uvedené výsledky všetkých dodávateľov v hodnotených kategóriách.
Vidieť všetko
Hodnotenie MITRE posudzuje riešenie MDR dodávateľa v rade 43 čiastkových krokov, ktoré predstavujú rôzne fázy taktiky a techniky útočníkov. Pre každý čiastkový krok sa meria 3 kľúčové úrovne:
Viditeľnosť : Určuje, či riešenie dodávateľa dokáže zhromaždiť dostatok dát, aby bolo možné identifikovať, že k určitému čiastkovému kroku došlo. Je to v podstate test schopnosti platformy vidieť aktivitu útočníka.
100% pokrytie : Naše riešenie dokáže efektívne zhromažďovať dáta pre identifikáciu všetkých 43 čiastkových krokov v rámci taktík a techník útočníka. To je veľmi dobrý výsledok, ktorý dokazuje schopnosť našej platformy „vidieť“ aktivity útočníkov v celom spektre hodnotenia.
Reportovanie : Tu hodnotenie presahuje iba odhalenie nejakej aktivity. Zisťuje sa, či dodávateľ dokáže čiastkový krok nielen identifikovať, ale aj nahlásiť. Toto hlásenie však môže postrádať konkrétne podrobnosti alebo kontext, čo sťažuje prijatie okamžitých opatrení.
95% pokrytie : Aj tu je naše skóre pôsobivé a prekračuje priemer 80% pokrytia. To znamená, že naše riešenie dokáže nielen identifikovať väčšinu čiastkových krokov (41 zo 43), ale aj ich nahlásiť. Aj keď tieto hlásenia môžu postrádať konkrétne podrobnosti, podčiarkuje to našu schopnosť odhaľovať podozrivé aktivity.
Nahlásenie : Toto je ideálny scenár. Dodávateľ nielenže zistí a nahlási čiastkový krok, ale poskytne aj ďalšie informácie, ako sú časové značky, lokalizácia, zapojení užívatelia a povaha aktivity. Tento bohatší kontext umožňuje informovanejšiu a účinnejšiu reakciu.
93% pokrytie : Sme hrdí na to, že sme dosiahli najvyššie skóre v oblasti "Reported - actionable" v porovnaní s priemerom 65 %. Toto skóre poukazuje na našu výnimočnú schopnosť nielen odhaliť a nahlásiť čiastkové kroky, ale aj poskytnúť najcennejší kontext, vrátane časových značiek, lokácií, zapojených užívateľov a povahy aktivity. Vďaka tomu môže váš bezpečnostný tím podniknúť rýchle a rozhodné kroky na potlačenie hrozieb.
Potom, čo sme vytvorili pevný základ na detekciu aktivity útočníkov, sa teraz pozrieme na to, ako efektívne môžeme detekciu premeniť na akciu. Tu prichádza na rad stredná doba do odhalenia (MTTD).
Rýchla reakcia, kvalifikované rozhodnutia
Stredná doba do odhalenia (MTTD) meria priemernú dobu, za ktorú poskytovateľ zabezpečenia identifikuje a upozorní na potenciálnu aktivitu útočníka. Nižšia hodnota MTTD všeobecne znamená rýchlejšiu detekciu a schopnosť reakcie. Bitdefender dosiahol priemernú dobu MTTD 24 minút, čo je výrazne rýchlejšie ako priemerná doba odozvy 42 minút.
Zameriavame sa na nájdenie rovnováhy medzi včasnou detekciou a minimalizáciou zbytočného šumu. Našou prioritou je poskytovať vysoko presné upozornenia, ktoré poskytujú užitočné informácie a umožňujú vášmu bezpečnostnému tímu efektívne reagovať na skutočné hrozby. Je dôležité posudzovať MTTD v spojení s ďalšími ukazovateľmi, najmä s objemom generovaných výstrah - čiže šumom.
Minimalizácia šumu, maximálna efektivita
Kritickým aspektom každého riešenia MDR je jeho schopnosť rozlišovať medzi skutočnými hrozbami a irelevantným šumom. Bezpečnostné tímy sú často zahltené obrovským množstvom výstrah, čo sťažuje sústredenie na najkritickejšie problémy.
V hodnoteniach MITRE MDR tím Bitdefender MDR uprednostnil rovnováhu medzi minimalizáciou šumu a zachovaním vysokej vernosti výstrah. Zatiaľ čo niektorí dodávatelia generovali objemy výstrah rádovo v stovkách alebo dokonca tisícoch, Bitdefender MDR produkoval výrazne nižší počet výstrah v porovnaní s priemerom daného odvetvia (130 e-mailov a 389 konzolových výstrah).
Tu sú informácie o tom, čo to pre vás znamená:
Zníženie únavy z výstrah : Naše riešenie pomáha bezpečnostným tímom vyhnúť sa informačnému preťaženiu tým, že predkladá menší objem výstrah (54 e-mailov a 28 výstrah na konzole). To im umožňuje zamerať pozornosť na najdôležitejšie hrozby.
Stanovenie priorít pre udalosti s vysokou závažnosťou : Náš dôraz na spoľahlivosť zaisťuje, že značná časť našich výstrah (77 % e-mailov) je klasifikovaná ako kritická alebo vysoko závažná, čo zaisťuje, že bezpečnostné tímy môžu uprednostniť najvýznamnejšie hrozby.
Praktické poznatky : Kvantita sa nerovná kvalite. V každom upozornení uprednostňujeme poskytovanie jasných a stručných informácií, ktoré bezpečnostným tímom umožňujú podniknúť rozhodné kroky na zmiernenie identifikovaných hrozieb.
Záver
Hodnotenie MITRE MDR ukazuje silné stránky Bitdefender MDR: výnimočnú detekciu hrozieb, využiteľné poznatky (najvyššia hodnota medzi účastníkmi v kategórii "Reported-actionable") a snahu o minimalizáciu únavy z upozornenia. To sa premieta do výkonného riešenia, ktoré umožňuje bezpečnostným tímom sústrediť sa na to najdôležitejšie – efektívne reagovať na skutočné hrozby a udržať organizácie v bezpečí.
OBRÁZOK 2: Bitdefender MDR dosiahol najvyššie skóre použiteľnosti pri minimalizácii šumu.
Chcete sa dozvedieť viac? Pripojte sa k nášmu nadchádzajúcemu webinárovi s analytikmi SOC a bezpečnostnými špecialistami Bitdefenderu , ktorý prebehne v stredu 26. júna o 16:00 (webinár bude prebiehať v anglickom jazyku). Budú sa zaoberať rozborom hodnotenia MDR vykonaného organizáciou MITRE, podrobne rozoberú naše výsledky a zodpovedia všetky vaše otázky týkajúce sa nášho prístupu k MDR. Ide o technický hĺbkový ponor (nie o marketingovú akciu) a príležitosť dozvedieť sa informácie priamo z prvej línie detekcie hrozieb a reakcií na ne.
AUTOR
Martin Zugec Martin je riaditeľom technických riešení v spoločnosti Bitdefender. Je vášnivým bloggerom a rečníkom, ktorý sa už viac ako dvadsať rokov venuje podnikovému IT. Miluje cestovanie, žil v Európe, na Blízkom východe a teraz sa zdržiava na Floride. |
Comments