20. septembra boli uverejnené výsledky MITRE Engenuity ATT& CK Evaluations 2023 pre podnikové bezpečnostné riešenia. V tomto roku Bitdefender odhalil 100% krokov útoku a zároveň poskytol najvyššiu možnú úroveň popisu simulovaného správania protivníka pre každý krok.
Bitdefender dosiahol tento výsledok už tretí rok po sebe, keď sa zúčastňuje MITRE Engenuity ATT&CK Evaluations. Tento rok sa hodnotenia zúčastnilo 31 dodávateľov, a posudzovala sa pritom schopnosť produktu odhaľovať a chrániť pred taktikami a technikami simulovaného protivníka. Piate kolo hodnotenia MITRE ATT&CK sa zameralo na určenie schopností bezpečnostných produktov proti správaniu protivníka inšpirovaného skupinou Turla, sofistikovanou hrozbou pochádzajúcou z Ruska, ktorá infikovala obete vo viac ako 45 krajinách.
Tento článok prináša niekoľko nástrojov na dôkladné preštudovanie týchto dát. V kombinácii s ďalšími informáciami vám tieto poznatky pomôžu pochopiť a efektívne využiť výsledky pre potreby vašej organizácie. Patrí sem aj skúmanie významu hodnotenia ATT&CK pre získanie prehľadu o skutočných detekčných schopnostiach dodávateľa.
Prečo je MITRE Engenuity ATT&CK Evaluations dôležité
ATT&CK Evaluations si získalo obľubu ako dôležitý zdroj objektívnych informácií o schopnostiach bezpečnostných produktov, a dopĺňa ďalšie dôveryhodné nezávislé testy organizácií, ako sú AV-Comparatives a AV-TEST.
MITRE Engenuity je medzi podobnými organizáciami jedinečná tým, že využíva svoje odborné znalosti, a znalostnú základňu ATT&CK, na vytvorenie komplexnej a dôkladnej emulácie útoku inšpirovanej taktikami a technikami, používanými jednotlivými útočnými skupinami. Pri teste detekcie je schopnosť produktov blokovať škodlivé aktivity deaktivovaná, čo umožňuje tímu MITRE zamerať sa na určenie detekčných schopností, vrátane úrovne podrobností alebo kontextu poskytovaného bezpečnostnými nástrojmi. Na rozdiel od iných nezávislých bezpečnostných testov, výsledky ATT&CK Evaluations nevyhlasujú "víťazov", ani neurčujú poradie dodávateľov. Je to tak preto, že, ako je uvedené na webových stránkach MITRE, "neexistuje žiadny jednotný spôsob analýzy, hodnotenia alebo klasifikácie riešení", ale tieto hodnotenia odrážajú jedinečný prístup každého dodávateľa k detekcii hrozieb.
Rozkľúčovanie výsledkov MITRE ATT&CK
Hoci je tu množstvo informácií, ktoré môžu na prvý pohľad pôsobiť neprehľadne, ATT&CK Evaluations sú bohatým zdrojom objektívnych poznatkov, ktoré by mal každý využiť. Najdôležitejšia je interpretácia výsledkov z hľadiska potrieb vašej organizácie. Zatiaľ čo Bitdefender odhalil 100% krokov útoku, môžu existovať čiastkové kroky (a tých je veľa), ktorých si vaša organizácia cení viac ako agregovaných krokov.
Napríklad existuje užitočný návod od organizácie MITRE, ako využiť výsledky na hodnotenie produktov. Niektoré z týchto odporúčaní budeme citovať, spolu s vlastnou analýzou tohtoročných výsledkov Turla.
Tento rok MITRE hodnotil detekčné schopnosti každého produktu podnikového zabezpečenia v 19 hlavných krokoch, a 143 čiastkových krokoch, ktoré napodobňovali vypozorované taktiky a techniky neslávne známej skupiny Turla.
Pre klasifikáciu rôznych typov detekcií použila organizácia MITRE ATT&CK kategórie detekcií, pričom každá z nich nadväzuje na predchádzajúce a dopĺňa ich o ďalšie súvislosti:
NEUPLATŇUJE SA
Žiadne
Telemetria (minimálne spracované dáta ukazujúce, že došlo k udalostiam)
Všeobecné (spracované údaje, ktoré uvádzajú, že došlo k škodlivej/neobvyklej udalosti)
Taktika (správne identifikuje cieľ, ktorý sa snažil protivník dosiahnuť)
Technika (tiež identifikuje spôsob, akým bola akcia vykonaná)
Pre jednotlivé čiastkové kroky emulácie sa zaznamená najvyššia úroveň detekcie pre každý produkt.
Ak chcete preskúmať výsledky na webe MITRE, môžete porovnať detekcie dodávateľa v jednotlivých technikách alebo čiastkových krokoch, alebo sa pozrieť na počty bodov na najvyššej úrovni pre analytický rozsah (zahŕňa všeobecné, taktické alebo technické detekcie), telemetrický rozsah a visibilitu ( telemetrický alebo analytický rozsah).
Výber správnych metrík, ktoré najlepšie zodpovedajú vašim potrebám, je ovplyvnený faktormi, ako sú odborné znalosti vášho tímu, dostupný čas a zdroje, a prijateľná úroveň rušivých vplyvov.
Počet čiastkových krokov v hodnoteniach MITRE 2023 sa zvýšil zo 109 na 143, pričom niektoré techniky majú väčší vplyv alebo význam pre odhalenie potenciálneho útoku ako iné. To ukazuje na obmedzenie nerozlišujúceho počítania detekcií. Podľa organizácie MITRE "možno predpokladať, že vyšší počet analytických detekcií je lepší, ale vysoký počet môže znamenať možnosť zahltenia analytika falošne pozitívnymi, alebo potenciálne nadbytočnými výstrahami".
Z nášho pohľadu je pre väčšinu organizácií dôležitá predovšetkým metrika detekcie hlavných krokov útoku s kontextom na úrovni techniky. Detekcia relevantných techník vo všetkých týchto krokoch, umožňuje tímom útok zastaviť. Ďalšia a hlbšia úroveň analýzy tohtoročných výsledkov sa zaoberá schopnosťami produktov, pokiaľ ide o detekciu konkrétnych techník alebo čiastkových krokov, ktoré sú pre váš tím dôležité a relevantné.
Výsledky Bitdefendu: Jasné informácie s minimálnym šumom a komplexným prístupom
Bitdefender GravityZone dosiahol 100% detekciu 19 krokov útoku v piatom kole hodnotenia MITRE Engenuity ATT&CK Evaluations pre podnikovú bezpečnosť, a ponúka podrobnosti o technike každého z krokov, ktoré by tímom SOC umožnili útok odhaliť a zastaviť. Je to už tretí rok po sebe, kedy spoločnosť Bitdefender dokáže odhaliť a poskytnúť využiteľné informácie o každom z krokov útoku v hodnotení ATT&CK Evaluations.
Po preštudovaní výsledkov sme zaznamenali analytické detekcie pri čiastkových krokoch, ktoré sme chceli podchytiť, a vyhli sme sa upozorňovaniu na tie, ktoré by mohli pre bezpečnostné tímy vytvárať zbytočný šum.
Pre lepšie pochopenie výsledkov a rozhodnutí, ktoré riešenie dodávateľa je pre váš tím vhodnejšie, odporúčame porovnať výsledky dodávateľov v konkrétnych čiastkových krokoch, a zároveň zvážiť, ktoré sú pre vás dôležité a na ktoré by ste nechceli byť upozorňovaní.
Prístup Bitdefenderu k detekcii a reakcii na koncových bodoch (EDR), a rozšírenej detekcii a reakcii (XDR), je zameraný na to, aby analytici, bez ohľadu na veľkosť tímu a úroveň odborných znalostí, mohli rýchlo a presne identifikovať útoky a reagovať na ne. Prvým krokom k dosiahnutiu tohto cieľa je zníženie úrovne únavy z výstrah, prostredníctvom prezentácie vysoko presných detekcií a automaticky triedených a korelovaných incidentov, ktoré minimalizujú šum a znižujú pravdepodobnosť, že sa skutočné hrozby stratia v záplave irelevantných výstrah. Kontext, ktorý možno využiť a ktorý je prezentovaný ľudsky čitateľným spôsobom, a jednoduché odporúčania na reakciu, pomáhajú aj tímom s nedostatočnými zdrojmi rýchlo reagovať, zatiaľ čo funkcie, ako je Live Search, podporujú pokročilé vyhľadávanie hrozieb.
Závery a odporúčania
Vzhľadom na to, že mnoho organizácií zápasí s problémom únavy z výstrah, nedostatkom zručností, nedostatočným prehľadom alebo neefektívnymi pracovnými postupmi SecOps, zostávajú hodnotenia MITRE ATT&CK kľúčovým zdrojom objektívnych a transparentných informácií o schopnostiach rôznych nástrojov pre detekciu a reakciu.
Organizácia MITRE sa vyhýba stanovovaniu rebríčkov, pretože tie neodrážajú špecifické problémy a potreby každej organizácie. Namiesto toho musí každá organizácia preskúmať nuansy výsledkov hodnotenia ATT&CK Evaluations, aby pochopila, ako sa rôzne prístupy pravdepodobne budú správať v reálnom prostredí. Skúmanie týchto výsledkov môže byť užitočným krokom pri rozhodovaní, ktoré z uvedených riešení sú kandidátmi na efektívne riešenie problémov, s ktorými sa váš tím stretáva.
Pri porozumení výsledkom tohtoročného hodnotenia MITRE ATT&CK je dôležité zamerať sa na dodávateľov, ktorí v hodnotení ATT&CK Evaluations rok čo rok dosahujú stabilne dobré výsledky, a pozrieť sa na ďalšie dôveryhodné nezávislé hodnotenia, ktoré dopĺňajú hodnotenia MITRE, ako sú AV-Comparatives a AV-TEST. Tieto hodnotenia zdôrazňujú dôležité aspekty, ktoré nie sú zahrnuté v hodnotení MITRE, ako sú: účinnosť včasnej prevencie alebo ochrany, miera falošne pozitívnych výsledkov, vplyv na výkon, použiteľnosť a návratnosť investícií (ROI).