ΠΡΟΪΟΝΤΑ

Η Sophos διαπρέπει στις αξιολογήσεις «MITRE ATT&CK® Evaluations for Enterprise» για το 2024

Η Sophos κατάφερε να επιτύχει και πάλι εξαιρετικά αποτελέσματα στις τελευταίες αξιολογήσεις MITRE ATT&CK Evaluations for Enterprise για το 2024. Σε αυτόν τον γύρο αξιολογήσεων το Sophos XDR κατάφερε να επιτύχει:

  • Τις υψηλότερες δυνατές βαθμολογίες («Technique», η υψηλότερη δυνατή βαθμολογία) για το 100% των δραστηριοτήτων των αντιπάλων στα σενάρια επιθέσεων ransomware στα λειτουργικά συστήματα Windows και Linux.
  • Τις υψηλότερες δυνατές βαθμολογίες («Technique») για τις 78 από τις 80 δραστηριότητες των αντιπάλων συνολικά και στα τρία ολοκληρωμένα σενάρια.
  • Βαθμολογίες «αναλυτικής κάλυψης» για 79 από τις 80 δραστηριότητες των αντιπάλων συνολικά.

ATT&CK® Evaluations for Enterprise, που εξετάζουν την ικανότητα δεκαεννέα λύσεων Endpoint Detection & Response (EDR/XDR) να εντοπίζουν και να αναφέρουν με ακρίβεια τις κακόβουλες δραστηριότητες εξελιγμένων ομάδων απειλών.

Παρακολουθήστε το παρακάτω σύντομο βίντεο για να αποκτήσετε μία πρώτη εικόνα για την αξιολόγηση:

Τι είναι οι αξιολογήσεις MITRE ATT&CK®;

Οι αξιολογήσεις MITRE ATT&CK® συγκαταλέγονται μεταξύ των πιο αναγνωρισμένων ανεξάρτητων δοκιμών ασφαλείας παγκοσμίως. Μιμούνται τις τακτικές, τις τεχνικές και τις διαδικασίες (TTPs) που χρησιμοποιούν ομάδες αντιπάλων σε πραγματικά σενάρια και αξιολογούν την ικανότητα κάθε συμμετέχοντος προμηθευτή να εντοπίζει, να αναλύει και να περιγράφει απειλές, με τα αποτελέσματα να είναι ευθυγραμμισμένα με τη γλώσσα και τη δομή του πλαισίου MITRE ATT&CK® (MITRE ATT&CK® Framework).

Δεν υπάρχει ένας ή μοναδικός τρόπος ερμηνείας των αποτελεσμάτων των αξιολογήσεων ATT&CK και δεν προορίζονται για αναλύσεις περί ανταγωνισμού. Τα αποτελέσματα δείχνουν αυτό που παρατηρήθηκε κατά τις αξιολογήσεις και δεν καταλήγουν σε «Νικητή» ή «Ηγέτη» -παρόλο που ορισμένοι προμηθευτές θα ήθελαν να πιστεύετε το αντίθετο!

Υπάρχουν διαφορές στον τρόπο λειτουργίας του εργαλείου κάθε προμηθευτή όπως και στον τρόπο που παρουσιάζει τις πληροφορίες στον αναλυτή που το χρησιμοποιεί. Επομένως, οι ατομικές σας ανάγκες και προτιμήσεις παίζουν ζωτικό ρόλο στον καθορισμό της λύσης που είναι ιδανική για εσάς και την ομάδα σας. Μάθετε περισσότερα για το Sophos Extended Detection and Response (XDR).

Επισκόπηση αξιολόγησης

Αυτός ήταν ο έκτος γύρος των ATT&CK Evaluations for Enterprise -οι αξιολογήσεις του MITRE που εστιάζουν στο προϊόν- που σχεδιάστηκαν για να βοηθήσουν τους οργανισμούς να κατανοήσουν καλύτερα τους τρόπους που οι προσφορές εντοπισμού και αντιμετώπισης απειλών για τερματικές συσκευές (EDR), όπως το Sophos XDR (για άλλους προσφορές ανίχνευσης και απόκρισης σε απειλές τερματικών) μπορούν να τους βοηθήσουν να αμυνθούν αποτελεσματικά ενάντια στις εξελιγμένες επιθέσεις πολλαπλών σταδίων.

Αυτός ο γύρος επικεντρώθηκε σε συμπεριφορές εμπνευσμένες από τρεις γνωστές ομάδες απειλών:

  • Λαϊκή Δημοκρατία της Κορέας (ΛΔΚ). Η αξιολόγηση μιμήθηκε τις συμπεριφορές των αντιπάλων από την ΛΔΚ που στοχεύουν το macOS μέσω επιχειρήσεων πολλαπλών σταδίων, συμπεριλαμβανομένης και της κλιμάκωσης προνομίων και της κλοπής διαπιστευτηρίων.
  • CL0P και LockBit Ransomware. Η αξιολόγηση προσομοίωσε συμπεριφορές που επικρατούν σε εκστρατείες που χρησιμοποιούν τα ransomware CL0P και LockBit με στόχο πλατφόρμες Windows και Linux, συμπεριλαμβανομένης της κατάχρησης νόμιμων εργαλείων και της απενεργοποίησης κρίσιμων υπηρεσιών.

Συμμετέχοντες στην αξιολόγηση

Δεκαεννέα προμηθευτές λύσεων EDR/XDR συμμετείχαν σε αυτόν τον γύρο αξιολόγησης (με αλφαβητική σειρά):

Κατανοώντας τα αποτελέσματα

Κάθε αντίπαλη δραστηριότητα (αποκαλούμενη «υπο-βήμα») που προσομοιώθηκε κατά την αξιολόγηση έλαβε μία από τις ακόλουθες βαθμολογίες, οι οποίες υποδεικνύουν την ικανότητα της λύσης να εντοπίζει, να αναλύει και να περιγράφει τη δραστηριότητα των αντιπάλων, με τα αποτελέσματα με τα αποτελέσματα να είναι ευθυγραμμισμένα με τη γλώσσα και τη δομή του πλαισίου MITRE ATT&CK® (MITRE ATT&CK® Framework).

  • Nonapplicable a «miss» (αστοχία): Η αντίπαλη δραστηριότητα δεν εντοπίστηκε ή η αξιολόγηση για το υπο-βήμα δεν ολοκληρώθηκε.
  • None: Η εκτέλεση του υπο-βήματος ήταν επιτυχής -παρόλα αυτά, τα αποδεικτικά στοιχεία που παρασχέθηκαν δεν πληρούσαν τα τεκμηριωμένα Κριτήρια Εντοπισμού (Detection Criteria) ή δεν παρασχέθηκαν αποδεικτικά στοιχεία για τη δραστηριότητα της Κόκκινης Ομάδας (Red Team).
  • General: Η λύση προσδιόρισε αυτόνομα την ύπαρξη κακόβουλου/ ύποπτου συμβάντος (συμβάντων) και ανέφερε τα Τι, Που, Πότε και Ποιος.
  • Tactic: Εκτός από την εκπλήρωση των κριτηρίων για τη βαθμολογία «General», η λύση παρείχε επίσης πληροφορίες σχετικά με το πιθανό κίνητρο του επιτιθέμενου, το Γιατί, δηλαδή, που είναι ευθυγραμμισμένο με τις Τακτικές MITRE ATT&CK.
  • Technique -η υψηλότερη δυνατή βαθμολογία: Εκτός από την εκπλήρωση των κριτηρίων για τη βαθμολογία «Technique», η λύση παρείχε επίσης λεπτομέρειες σχετικά με τη μέθοδο του επιτιθέμενου για την επίτευξη του στόχου: Πως εκτελέστηκε η ενέργεια.

Οι εντοπισμοί (ανιχνεύσεις) που ταξινομούνται ως General, Tactic ή Technique ομαδοποιούνται στο πλαίσιο του ορισμού της Αναλυτικής Κάλυψης (Analytic Coverage) που μετρά την ικανότητα της λύσης να μετατρέπει την τηλεμετρία σε ανιχνεύσεις απειλών που είναι επιδεκτικές σε ενέργειες.

Πως τα πήγε η Sophos σε αυτή την αξιολόγηση;

Κατά τη διάρκεια της αξιολόγησης, η MITRE εκτέλεσε τρία διακριτά σενάρια επιθέσεων (DPRK, CL0P και LockBit) που περιλάμβαναν συνολικά 16 βήματα και 80 υπο-βήματα.

Το Sophos XDR έδωσε εντυπωσιακά αποτελέσματα, επιτυγχάνοντας:

  • Τις υψηλότερες δυνατές βαθμολογίες («Technique») για το 100% των δραστηριοτήτων των αντιπάλων στα σενάρια επιθέσεων ransomware για Windows και Linux.
  • Τις υψηλότερες δυνατές βαθμολογίες («Technique») για 78 από τις 80 συνολικά δραστηριότητες των αντιπάλων και στα τρία ολοκληρωμένα σενάρια.
  • Βαθμολογίες «Αναλυτικής Κάλυψης» (Analytic Coverage) για 79 από τις 80 συνολικές δραστηριότητες των αντιπάλων.

Σενάριο επίθεσης 1: Λαϊκή Δημοκρατία της Κορέας (μόνο macOS)

Η Βόρεια Κορέα έχει αναδειχθεί σε μια τρομερή απειλή στον κυβερνοχώρο και επεκτείνοντας την εστίασή της στο macOS, απόκτησε τη δυνατότητα να στοχεύει και να διεισδύει σε επιπλέον συστήματα υψηλής αξίας. Στο συγκεκριμένο σενάριο επίθεσης, η ομάδα MITRE χρησιμοποίησε μια «κερκόπορτα» (back door) από μια επίθεση στην αλυσίδα εφοδιασμού, ακολουθούμενη από επιμονή, ανακάλυψη και πρόσβαση με διαπιστευτήρια, με αποτέλεσμα τη συλλογή και την εξαγωγή πληροφοριών συστήματος και keychain αρχείων του macOS.

Αυτό το σενάριο περιλάμβανε 4 βήματα με 21 υπο-βήματα μόνο στο macOS.

  • Το Sophos XDR εντόπισε και παρείχε πλούσια «Αναλυτική Κάλυψη» για 20 από τα 21 επιμέρους βήματα (95%) σε αυτό το σενάριο.
  • Σε 19 υπο-βήματα αποδόθηκε κατηγοριοποίηση επιπέδου «Technique» -η υψηλότερη δυνατή βαθμολογία.

Σενάριο επίθεσης 2: CL0P ransomware (Windows)

Εν ενεργεία τουλάχιστον από το 2019, το CL0P είναι μια οικογένεια ransomware που συνδέεται με τον κυβερνοεγκληματικό φορέα απειλών TA505 (επίσης γνωστό ως Snakefly) και πιστεύεται ευρέως ότι λειτουργεί από ρωσόφωνες ομάδες κυβερνοεγκληματιών. Η ομάδα MITRE χρησιμοποίησε τεχνικές αποφυγής, επιμονή και ένα φορτίο εντός της μνήμης (in-memory payload) για να πραγματοποιήσει ανακάλυψη και απομόνωση πριν από την εκτέλεση του ransomware.

Αυτό το σενάριο περιλάμβανε 4 βήματα με 19 υπο-βήματα μόνο στα Windows.

  • Το Sophos XDR εντόπισε και παρείχε πλήρη κάλυψη σε επίπεδο «Technique» -την υψηλότερη δυνατή βαθμολογία- για το 100% των υπο-βημάτων στο συγκεκριμένο σενάριο.

Σενάριο επίθεσης 3: LockBit ransomware (Windows και Linux)

Λειτουργώντας υπό βάση Ransomware-as-a-Service (RaaS), το LockBit είναι μια διαβόητη παραλλαγή ransomware που έχει αποκτήσει κακή φήμη για τα εξελιγμένα εργαλεία, τις μεθόδους εκβιασμού και τις εξαιρετικά σοβαρές επιθέσεις. Η ομάδα MITRE απόκτησε πρόσβαση χρησιμοποιώντας παραβιασμένα διαπιστευτήρια και τελικώς εγκαθιστώντας και εφαρμόζοντας ένα εργαλείο εξαγωγής (δεδομένων) και ransomware για να σταματήσει τις εικονικές μηχανές και να διαρρήξει και να κρυπτογραφήσει αρχεία.

Αυτό το σενάριο περιλάμβανε 8 βήματα με 40 υπο-βήματα σε Windows και Linux.

  • Το Sophos XDR εντόπισε και παρείχε πλήρη κάλυψη σε επίπεδο «Technique» -την υψηλότερη δυνατή βαθμολογία- για το 100% των υπο-βημάτων σε αυτό το σενάριο.

Μάθετε περισσότερα στο sophos.com/mitre και εξερευνήστε τα πλήρη αποτελέσματα στην ιστοσελίδα της μη κερδοσκοπικής οργάνωσης MITRE.

Πως συγκρίνονται τα αποτελέσματα της Sophos με τα αποτελέσματα των άλλων συμμετεχόντων;

Να σας υπενθυμίσουμε ότι δεν υπάρχει ένας μοναδικός τρόπος ερμηνείας των αποτελεσμάτων των αξιολογήσεων ATT&CK και ενδέχεται να δείτε διαφορετικά διαγράμματα, γραφήματα και άλλες απεικονίσεις, οι οποίες δημιουργήθηκαν από τους συμμετέχοντες προμηθευτές για να πλαισιώσουν τα αποτελέσματα με διαφορετικούς τρόπους.

Η ποιότητα ανίχνευσης/ εντοπισμού είναι κρίσιμης σημασίας για την παροχή λεπτομερών πληροφοριών για τη συμπεριφορά του αντιπάλου ώστε οι αναλυτές να μπορούν να διερευνήσουν και να ανταποκριθούν γρήγορα και αποτελεσματικά. Επομένως, ένας από τους πιο πολύτιμους τρόπους προβολής των αποτελεσμάτων των αξιολογήσεων ATT&CK® είναι η σύγκριση του αριθμού των επιμέρους βημάτων που παρήγαγαν μία ανίχνευση/ εντοπισμό που παρείχε πλούσιες λεπτομέρειες σχετικά με τις συμπεριφορές του αντιπάλου (Αναλυτική Κάλυψη) και του αριθμού των επιμέρους βημάτων που πέτυχαν πλήρη κάλυψη επιπέδου «Technique».

Πως να χρησιμοποιήσετε τα αποτελέσματα των αξιολογήσεων MITRE ATT&CK®

Όταν εξετάζετε μια λύση EDR ή μία λύση εκτεταμένης ανίχνευσης και απόκρισης (XDR), εξετάστε τα αποτελέσματα των αξιολογήσεων ATT&CK μαζί με άλλα αξιόπιστα δεδομένα τρίτων, συμπεριλαμβανομένων επαληθευμένων αξιολογήσεων πελατών και αξιολογήσεων αναλυτών. Οι πρόσφατες αναγνωρίσεις τρίτων για το Sophos XDR περιλαμβάνουν: 

Καθώς εξετάζετε τα δεδομένα που είναι διαθέσιμα στην πύλη MITRE για κάθε συμμετέχοντα προμηθευτή, λάβετε τις ακόλουθες ερωτήσεις υπόψη σας καθώς αφορούν τόσο εσάς, όσο και την ομάδα και τον οργανισμό σας: 

  • Σας βοηθά το εργαλείο που αξιολογήθηκε να εντοπίσετε τις απειλές;
  • Σας παρουσιάζει τις πληροφορίες με τον τρόπο που θέλετε;
  • Ποιος θα χρησιμοποιήσει το εργαλείο; Αναλυτές επιπέδου 3; Ειδικοί από τον κλάδο πληροφορικής ή διαχειριστές συστημάτων;
  • Πως σας επιτρέπει το εργαλείο να διεξάγετε καταδίωξη απειλών;
  • Συσχετίζονται διαφορετικά συμβάντα; Γίνεται αυτόματα ή πρέπει να το κάνετε μόνοι σας;
  • Μπορεί το εργαλείο EDR/XDR να ενσωματωθεί με άλλες τεχνολογίες στο περιβάλλον σας (π.χ. τείχος προστασίας, ηλεκτρονικό ταχυδρομείο, νέφος, ταυτότητα, δίκτυο κ.λπ.) συμπεριλαμβανομένων και λύσεων άλλων προμηθευτών;
  • Σκοπεύετε να χρησιμοποιήσετε το εργαλείο μόνοι σας ή θα έχετε την υποστήριξη ενός συνεργάτη για τη διαχείριση του εντοπισμού και της απόκρισης (MDR); 

Γιατί συμμετέχει η Sophos στις αξιολογήσεις ATT&CK® της MITRE 

Οι αξιολογήσεις MITRE ATT&CK Evaluations συγκαταλέγονται μεταξύ των πιο αξιοσέβαστων ανεξάρτητων δοκιμών/αξιολογήσεων λύσεων ασφαλείας παγκοσμίως, λόγω της προσομοίωσης πραγματικών σεναρίων επίθεσης και της διαφάνειας των αποτελεσμάτων. Η Sophos έχει δεσμευτεί να συμμετέχει σε αυτές τις αξιολογήσεις μαζί με μερικούς από τους καλύτερους προμηθευτές ασφάλειας στον κλάδο. Ως κοινότητα, είμαστε ενωμένοι ενάντια σε έναν κοινό εχθρό. Αυτές οι αξιολογήσεις μας βοηθούν να γινόμαστε καλύτεροι, ατομικά και συλλογικά, προς όφελος των οργανισμών που υπερασπιζόμαστε. 

Ξεκινήστε με το Sophos XDR 

Τα αποτελέσματά σε αυτή την τελευταία αξιολόγηση επικυρώνουν περαιτέρω τη θέση της Sophos ως κορυφαίου παρόχου δυνατοτήτων ανίχνευσης και απόκρισης σε περιστατικά ασφαλείας (EDR) και εκτεταμένης ανίχνευσης και απόκρισης (XDR) σε περισσότερους από 43.000 οργανισμούς παγκοσμίως. 

Επισκεφθείτε την ιστοσελίδα της Sophos ή μιλήστε με έναν ειδικό για να δείτε από μόνοι σας πως η Sophos μπορεί να βελτιώσει την ανίχνευση και την απόκρισή σας σε περιστατικά και να οδηγήσει σε ανώτερα αποτελέσματα για τον οργανισμό σας σήμερα. 

Πηγή: Sophos