MITRE ATT&CK® σημαίνει MITRE Adversarial Tactics, Techniques & Common Knowledge (ATT&CK). Το πλαίσιο ATT&CK της MITRE είναι μια επιμελημένη βάση γνώσεων και ένα μοντέλο για τη συμπεριφορά των αντιπάλων στον κυβερνοχώρο και αντικατοπτρίζει τις διάφορες φάσεις του κύκλου ζωής μιας επίθεσης ενός αντιπάλου και τις πλατφόρμες που είναι γνωστό ότι αποτελούν στόχοι τους.
Η εταιρεία MITRE Engenuity™ δημοσίευσε τα αποτελέσματα του τελευταίου γύρου των αξιολογήσεων ATT&CK® για Διαχειριζόμενες Υπηρεσίες, αξιολογώντας την αποτελεσματικότητα και την ικανότητα έντεκα (11) προμηθευτών να ανιχνεύουν, να αναλύουν και να περιγράφουν με ακρίβεια τη συμπεριφορά των αντιπάλων σε πραγματικές συνθήκες.
Αυτός ήταν ο δεύτερος γύρος των ATT&CK Evaluations for Managed Services που σε πρώτη φάση ξεκίνησε το 2022 για να βοηθήσει τους οργανισμούς να κατανοήσουν καλύτερα πως προσφορές και λύσεις όπως η Sophos MDR μπορούν να τους βοηθήσουν να προστατευτούν από τις εξελιγμένες επιθέσεις πολλαπλών σταδίων.
Παρακολουθήστε παρακάτω αυτό το σύντομο βίντεο για να αποκτήσετε μία ολοκληρωμένη εικόνα της αξιολόγησης:
Ποιο ήταν το πεδίο εφαρμογής των αξιολογήσεων ATT&CK;
Οι αξιολογήσεις ATT&CK της MITRE Engenuity σχεδιάστηκαν για να προσομοιώνουν ένα αντιπροσωπευτικό παράδειγμα του τρόπου με τον οποίο οι οργανισμοί μπορούν να αναμένουν από έναν πάροχο διαχειριζόμενων υπηρεσιών (MSP) να συνεργαστεί μαζί τους κατά τη διάρκεια μιας εξελιγμένης επίθεσης.
Η ομάδα MITRE Engenuity μιμείται τις συμπεριφορές γνωστών αντιπάλων και φορέων απειλών κατά τη διάρκεια της αξιολόγησης. Σε αυτόν τον γύρο χρησιμοποιήθηκε μια προσέγγιση «μαύρου κουτιού», σύμφωνα με την οποία η MITRE δεν αποκάλυψε τους προσομοιωμένους δράστες/ φορείς απειλής ή το πεδίο εφαρμογής της τεχνικής μέχρι την ολοκλήρωση της αξιολόγησης.
Η συγκεκριμένη αξιολόγηση προσομοίωσε τακτικές και τεχνικές που χρησιμοποιούνται από δύο γνωστές ομάδες απειλών -τις menuPass και ALPHV/BlackCat- και αξιολόγησε τις ικανότητες κάθε προμηθευτή να ανιχνεύει και να αναφέρει συγκεκριμένες δραστηριότητες των αντιπάλων.
Συνολικά, η αξιολόγηση περιελάμβανε 172 δραστηριότητες (υπο-βήματα) αντιπάλων από 15 βήματα συνολικά. Λάβετε υπόψη σας ωστόσο ότι μόνο 43 από τα υπο-βήματα – εκείνα που η MITRE Engenuity θεώρησε κρίσιμης σημασίας για την επιτυχία της ακολουθίας επιθέσεων – συμπεριελήφθησαν στα αποτελέσματα.
Η αξιολόγηση επικεντρώθηκε εξ ολοκλήρου στον εντοπισμό και στη δημιουργία αναφορών. Δεν αξιολογήθηκε η ικανότητα αποκλεισμού, αντίδρασης ή αποκατάστασης των απειλών. Επομένως είναι σημαντικό να έχετε υπόψη σας ότι οι συμπεριφορές των αντιπάλων που προσομοιώθηκαν σε αυτή την αξιολόγηση ενδέχεται να αποκλείστηκαν από τεχνολογίες προστασίας (π.χ. νέας γενιάς εργαλεία endpoint) που οι προμηθευτές έπρεπε να έχουν απενεργοποιήσει κατά τη διάρκεια της αξιολόγησης.
Οι συμμετέχοντες στην αξιολόγηση
Παρακάτω είναι οι έντεκα πάροχοι υπηρεσιών ασφάλειας που συμμετείχαν σε αυτόν τον γύρο αξιολόγησης:
Bitdefender | BlackBerry | CrowdStrike | Field Effect |
Microsoft | Palo Alto Networks | SecurityHQ | Secureworks |
SentinelOne | Sophos | Trend Micro |
Τα αποτελέσματα της Sophos
Τα αποτελέσματα των αξιολογήσεων ATT&CK της MITRE μπορούν να ερμηνευθούν με πολλούς τρόπους και η MITRE Engenuity δεν κατατάσσει ή ανακηρύσσει κανέναν προμηθευτή «νικητή» ή «ηγέτη». Η διαχειριζόμενη υπηρεσία κάθε προμηθευτή προβάλει και αναφέρει τις πληροφορίες και τα δεδομένα με διαφορετικό τρόπο ενώ οι ανάγκες και οι προτιμήσεις κάθε οργανισμού είναι εξίσου σημαντικές με τα ίδια τα αποτελέσματα.
Η Sophos «ανέφερε» (Reported) επιτυχώς και περιέγραψε με ακρίβεια το 84% από τις 43 δραστηριότητες (υπο-βήματα) του αντιπάλου που επίλεξε η MITRE Engenuity -ποσοστό υψηλότερο από τον μέσο όρο μεταξύ των συμμετεχόντων προμηθευτών. Η πλειονότητα (75%) επίσης των εντοπισμών/ ανιχνεύσεων της Sophos κατηγοριοποιήθηκε επίσης ως «Actionable». To «Reported» σημαίνει ότι η δραστηριότητα του αντιπάλου εντοπίστηκε με επιτυχία και δόθηκε επαρκές πλαίσιο. Και, όταν οι αναφερόμενες πληροφορίες αντιμετωπίζουν επίσης επιτυχώς τα «5 W» (Who, What, When, Where και Why), η δραστηριότητα κατηγοριοποιείται περαιτέρω ως «Actionable».
Τα αποτελέσματα των αξιολογήσεων ATT&CK της MITRE μπορούν να ερμηνευθούν με πολλούς τρόπους και η MITRE Engenuity δεν κατατάσσει ή ανακηρύσσει κανέναν προμηθευτή «νικητή» ή «ηγέτη». Η διαχειριζόμενη υπηρεσία κάθε προμηθευτή προβάλει και αναφέρει τις πληροφορίες και τα δεδομένα με διαφορετικό τρόπο ενώ οι ανάγκες και οι προτιμήσεις κάθε οργανισμού είναι εξίσου σημαντικές με τα ίδια τα αποτελέσματα.
Η Sophos «ανέφερε» (Reported) επιτυχώς και περιέγραψε με ακρίβεια το 84% από τις 43 δραστηριότητες (υπο-βήματα) του αντιπάλου που επίλεξε η MITRE Engenuity -ποσοστό υψηλότερο από τον μέσο όρο μεταξύ των συμμετεχόντων προμηθευτών. Η πλειονότητα (75%) επίσης των εντοπισμών/ ανιχνεύσεων της Sophos κατηγοριοποιήθηκε επίσης ως «Actionable». To «Reported» σημαίνει ότι η δραστηριότητα του αντιπάλου εντοπίστηκε με επιτυχία και δόθηκε επαρκές πλαίσιο. Και, όταν οι αναφερόμενες πληροφορίες αντιμετωπίζουν επίσης επιτυχώς τα «5 W» (Who, What, When, Where και Why), η δραστηριότητα κατηγοριοποιείται περαιτέρω ως «Actionable».
Τα αποτελέσματα περιλαμβάνουν επίσης τον αριθμό των προειδοποιητικών μηνυμάτων ηλεκτρονικού ταχυδρομείου που αποστάλθηκαν από κάθε προμηθευτή.
Για να διασφαλιστεί μια αποτελεσματική, κατανοητή και αξιοποιήσιμη ανταπόκριση, η λύση Sophos MDR εστιάζει στην παροχή υψηλής αξίας ανθρώπινων ειδοποιήσεων που περιέχουν όλες τις κρίσιμες πληροφορίες και το πλαίσιο που πρέπει να γνωρίζουν οι πελάτες.
Κατά τη διάρκεια της πενθήμερης αξιολόγησης MITRE ATT&CK για τις διαχειριζόμενες υπηρεσίες, η υπηρεσία Sophos MDR απέστειλε 24 μηνύματα ηλεκτρονικού ταχυδρομείου. Ο μέσος όρος μεταξύ των υπόλοιπων συμμετεχόντων ήταν πάνω από 120 μηνύματα ηλεκτρονικού ταχυδρομείου ενώ κάποιοι προμηθευτές απέστειλαν ακόμα και περισσότερα από 300 μηνύματα ηλεκτρονικού ταχυδρομείου. Το λεγόμενο «alert fatigue», δηλαδή η κόπωση από τις ειδοποιήσεις, η οποία προκαλείται από τον υπερβολικό αριθμό ειδοποιήσεων που αποστέλλονται από λύσεις ασφαλείας αποτελεί ένα σημαντικό ζήτημα στην κυβερνοασφάλεια. Η Sophos έχει κατανοήσει ότι ο χρόνος των υπαλλήλων του οργανισμού σας είναι πολύτιμος και ότι στην περίπτωση που οι πόροι είναι περιορισμένοι, η ποιότητα είναι συνήθως καλύτερη από την ποσότητα.
Πως να αξιοποιήσετε τα αποτελέσματα των αξιολογήσεων MITRE Engenuity ATT&CK
Οι αξιολογήσεις ATT&CK συγκαταλέγονται μεταξύ των πλέον αξιοσέβαστων ανεξάρτητων δοκιμών ασφαλείας παγκοσμίως, κυρίως λόγω της προσεκτικής σχεδίασης και της προσομοίωσης σεναρίων επιθέσεων εμπνευσμένων από πραγματικές συνθήκες, της διαφάνειας των αποτελεσμάτων και του πλούτου των πληροφοριών για τους συμμετέχοντες.
Όταν εξετάζετε το ενδεχόμενο να συμπεριλάβετε στο αμυντικό σας οπλοστάσιο μία διαχειριζόμενη υπηρεσία εντοπισμού και αντιμετώπισης (Managed Detection and Response ή MDR), φροντίστε να εξετάσετε τα αποτελέσματα των MITRE Engenuity ATT&CK Evaluations μαζί με άλλες ανεξάρτητες και αξιόπιστες αξιολογήσεις τρίτων, συμπεριλαμβανομένων των επαληθευμένων αξιολογήσεων πελατών και των αξιολογήσεων αναλυτών.
Καθώς εξετάζετε τα δεδομένα που είναι διαθέσιμα στην πύλη αξιολόγησης της MITRE Engenuity, κοιτάξτε πέρα από τους αριθμούς και λάβετε υπόψη σας τα ακόλουθα, έχοντας κατά νου ότι υπάρχουν ορισμένα ερωτήματα σχετικά με τις διαχειριζόμενες υπηρεσίες ασφάλειας στα οποία οι αξιολογήσεις ATT&CK Evaluations δεν μπορούν να σας βοηθήσουν να απαντήσετε. Για παράδειγμα:
- Σας παρουσιάζει η υπηρεσία τις πληροφορίες με τον τρόπο που θέλετε, με επικοινωνίες υψηλής αξίας που περιέχουν τις κρίσιμες πληροφορίες που πρέπει να γνωρίζετε;
- Μήπως η υπηρεσία «υποθέτει» ότι έχετε στη διάθεση σας μία εσωτερική ομάδα επιχειρήσεων ασφαλείας ή μπορεί να παρέχει ένα πλήρες «άμεσης επέμβασης SOC» με τη δυνατότητα να αναλαμβάνει δράση για την εξάλειψη των απειλών για λογαριασμό σας;
- Ποιος θα ασχολείται με τον πάροχο διαχειριζόμενων υπηρεσιών σε καθημερινή βάση; Διαχειριστές πληροφορικής, έμπειροι αναλυτές ασφαλείας ή ενδεχομένως και οι δύο μαζί;
- Μπορεί η υπηρεσία να ενσωματωθεί με άλλες τεχνολογίες στο περιβάλλον σας για τον εντοπισμό και την αντιμετώπιση απειλών πολλαπλών σταδίων που εκτείνονται πέρα από τις τερματικές συσκευές/ endpoints (π.χ. τείχος προστασίας, ηλεκτρονικό ταχυδρομείο, cloud, ταυτότητα, δίκτυο, δημιουργία αντιγράφων ασφαλείας και ανάκτηση κ.λπ.);
- Περιλαμβάνει η υπηρεσία πλήρη απομακρυσμένη αντιμετώπιση περιστατικών και οι περιλαμβανόμενες υπηρεσίες IR περιορίζονται σε σταθερό αριθμό ωρών ή είναι απεριόριστες;
Γιατί συμμετέχει η Sophos
Η Sophos έχει δεσμευτεί να συμμετέχει στις αξιολογήσεις ATT&CK της MITRE Engenuity μαζί με μερικούς από τους καλύτερους προμηθευτές ασφάλειας στον κλάδο. Ως κοινότητα, είμαστε ενωμένοι ενάντια σε έναν κοινό εχθρό. Αυτές οι αξιολογήσεις μας βοηθούν να γίνουμε καλύτεροι, ατομικά και συλλογικά, προς όφελος των οργανισμών που υπερασπιζόμαστε.
Η συμμετοχή της Sophos στην τελευταία αξιολόγηση επικυρώνει περαιτέρω τη θέση της Sophos ως κορυφαίου στον κλάδο παρόχου υπηρεσιών Managed Detection and Response (MDR) και αξιόπιστου συνεργάτη κυβερνοασφάλειας για περισσότερους από 22.000 πελάτες.
Για να μάθετε περισσότερα για την υπηρεσία Sophos MDR και πως μπορεί να σας υποστηρίξει, επισκεφθείτε την ιστοσελίδα της Sophos ή μιλήστε με έναν ειδικό ασφαλείας της εταιρείας σήμερα.
Πηγή: Sophos