Dlaczego liczba alertów i fałszywe alarmy mają znaczenie w ocenach przedsiębiorstw MITRE ATT&CK® 2024?

W ciągu ostatnich kilku lat testy MITRE ATT&CK® stały się branżowym standardem w zakresie oceny możliwości wykrywania zagrożeń przez produkty i usługi zabezpieczające poprzez symulację ataków w świecie rzeczywistym. Znaczna liczba dochodzeń po naruszeniu bezpieczeństwa w ciągu ostatniego roku ujawniła, że atakujący często pozostawali niezauważeni pomimo licznych oznak ich aktywności. Dzieje się tak zazwyczaj dlatego, że zespoły ds. bezpieczeństwa nie mają wglądu w odpowiednie systemy lub źródła danych, nie potrafią rozpoznać znaczenia obserwowanych informacji lub są przytłoczone alertami i nie są w stanie ich w pełni ocenić.

W ramach zeszłorocznej oceny MITRE wprowadziło dwie ważne i bardzo potrzebne metryki: „całkowita liczba wygenerowanych alertów” i „fałszywe alarmy”, aby lepiej odzwierciedlić wykonalność rozwiązań od uczestniczących dostawców. Jest to pierwszy raz, kiedy MITRE uwzględniło ten aspekt w swoich ocenach produktów. Ta zmiana jest bardzo potrzebna, gdyż oferuje ona potencjalnym nabywcom nowy sposób oceny rozwiązań bezpieczeństwa i pokazuje zaangażowanie MITRE w przeprowadzanie ocen wiernie odzwierciedlających rzeczywiste scenariusze.

Oceny MITRE ATT&CK® dla przedsiębiorstw – runda 6

Na potrzeby rundy 6 MITRE przygotowało trzy scenariusze wykrywania (i jeden scenariusz ochrony) skupiające się na oprogramowaniu ransomware (konkretnie Cl0p i LockBit), a także atakach na systemy macOS przeprowadzanych przez Koreańską Republikę Ludowo-Demokratyczną (KRLD). Oznaczało to znaczące rozszerzenie zakresu oceny i nie wszyscy dostawcy uczestniczyli w testach macOS. Podczas gdy dwa scenariusze oprogramowania ransomware skupiały się na systemie Windows, jeden scenariusz obejmował również wykrycia związane z systemem Linux Ubuntu, co dodatkowo pokazuje rozszerzający się zakres ocenianych systemów operacyjnych.

Dzięki najnowszej rewizji formuły oceny trzy kluczowe wskaźniki pozwalają teraz na wgląd w podejścia stosowane przez różne rozwiązania i dostawców zabezpieczeń:

Alert Richness: Odnosi się do poziomu szczegółowości i kontekstu, jaki zapewnia alert. Bogato szczegółowe alerty wyposażają zespoły ds. bezpieczeństwa w kompleksowe zrozumienie potencjalnego zagrożenia, umożliwiając im podjęcie odpowiednich działań.

Wyniki fałszywie dodatnie: Są to celowo zaprojektowane zdarzenia w scenariuszach oceny, które nie powinny wyzwalać alertów.

Całkowita liczba wygenerowanych alertów: Ta metryka przedstawia całkowitą liczbę alertów wygenerowanych przez produkt. Nadmierna liczba alertów może przytłoczyć zespoły ds. bezpieczeństwa, utrudniając ustalanie priorytetów i reagowanie na rzeczywiste zagrożenia.

W naszej analizie rozważaliśmy, czy raportować wyniki dla każdego scenariusza indywidualnie, czy też przedstawić podsumowanie skumulowane. Ostatecznie zdecydowaliśmy się na analizę podsumowującą, a pełne wyniki dla wszystkich kluczowych wskaźników zamieściliśmy na końcu tego wpisu na blogu w celach informacyjnych.

Bogactwo alertów kontra wolumen alertów

Podobnie jak w poprzednich rundach, MITRE obejmował system wykrywania o zróżnicowanym poziomie pokrycia. Ważne jest, aby zrozumieć, że ta ocena opiera się na wstępnie zdefiniowanej logice wykrywania, a nie wyłącznie na mapowaniu do MITRE ATT&CK® Framework.

Na przykład, nawet jeśli dostawca zidentyfikuje technikę jako „System Location Discovery”, a konkretną podtechnikę jako „System Language Discovery”, wykrycie może zostać oznaczone jako „None”, jeśli nie dostarczy wymaganych szczegółów, takich jak użycie wywołania API „NtQueryInstallUILanguage”. Innymi słowy, podanie szczegółowych informacji nie gwarantuje automatycznie wysokiej oceny wykrycia. Nasza analiza obejmuje tylko „analityczne” pokrycie, wykrycia wykraczające poza podstawową identyfikację i dostarczające dodatkowy kontekst i informacje.

Ocena MITRE obejmuje teraz dane dotyczące całkowitej liczby wygenerowanych alertów, dalej podzielone według poziomów ważności. Zapewnia to cenne informacje na temat ogólnej liczby alertów i ich dystrybucji na różnych poziomach zagrożenia.

Najbardziej efektywne rozwiązania zapewnią odpowiednią równowagę między zapewnieniem wystarczającego kontekstu w każdym alercie, aby zrozumieć zagrożenie, a minimalizacją szumu alertów. Nadmierna liczba alertów, nawet z bogatymi szczegółami, może szybko przytłoczyć analityków ds. bezpieczeństwa, co prowadzi do zmęczenia alertami i potencjalnie utrudnia im skuteczne reagowanie na krytyczne zagrożenia.

RYSUNEK 1 – Aalerty High & Critical – Ta wizualizacja obejmuje tylko alerty o powadze High lub Critical. Zapoznaj się z pełną tabelą na końcu wpisu na blogu, aby uzyskać kompletne i niekorygowane dane.

Fałszywie alarmy

MITRE wprowadziło również koncepcję fałszywych alarmów (FP) w swoich ocenach. Te FP są zasadniczo „pułapkami” – celowo zaprojektowanymi zdarzeniami w scenariuszach oceny, które nie powinny wyzwalać alertów. Jeśli rozwiązanie bezpieczeństwa zgłasza jedno z tych zdarzeń „pułapek”, oznacza to, że rozwiązanie generuje fałszywe alarmy. Ważne jest, aby pamiętać, że zmierzone FP reprezentują tylko podzbiór potencjalnych fałszywych alarmów generowanych przez rozwiązanie, szczególnie przy dużej liczbie alertów.

Rysunek 2 – Wykres ten ilustruje związek między bogactwem alertów a wyzwolonymi fałszywymi wynikami pozytywnymi, czyli celowo zaprojektowanymi zdarzeniami w scenariuszach oceny, które nie powinny wyzwalać alertów.

Bitdefender: priorytetyzacja praktycznych spostrzeżeń

Poprzednia ocena MITRE ATT&CK® dla usług zarządzanych wykazała wyjątkową wydajność naszego zespołu MDR, co jest dowodem na podstawowe mocne strony naszej platformy. Dzięki wprowadzeniu nowych metryk w tej najnowszej ocenie czynniki, które sprawiają, że nasza platforma jest wyjątkowo użyteczna, są teraz wyraźnie widoczne.

Podczas gdy 25% dostawców nie uczestniczyło w scenariuszu macOS, Bitdefender osiągnął 100% pokrycia analitycznego zarówno dla Linuksa, jak i macOS, z zerowymi fałszywymi wynikami pozytywnymi (FP) w obu przypadkach. Całkowite pokrycie analityczne wynosi 91% z 6 FP.

Co ciekawe, średnia liczba incydentów zgłoszonych do SOC za pomocą platformy GravityZone wyniosła tylko 3 we wszystkich scenariuszach, w porównaniu do średniej 35 000 (mediana 209) w przypadku innych rozwiązań. Dzięki skutecznej korelacji scenariuszy do kilku incydentów, każdy z odpowiednimi szczegółami, zespoły ds. bezpieczeństwa mogą szybciej wykrywać i neutralizować zagrożenia. Skupienie zespołu Bitdefender na możliwości podjęcia działań jest dodatkowo potwierdzone przez unikalne funkcje GravityZone, takie jak Incident Advisor, jednostronicowe podsumowanie rozszerzonych incydentów bezpieczeństwa.

Fałszywe alarmy w MITRE – kluczowe informacje

Najnowsza ocena MITRE pokazuje mocne strony programów antywirusowych z linii Bitdefender GravityZone: wyjątkowe wykrywanie zagrożeń, praktyczne spostrzeżenia i zaangażowanie w minimalizowanie zmęczenia alertami. To przekłada się na wyjątkowe rozwiązanie, które pozwala zespołom ds. bezpieczeństwa skupić się na tym, co najważniejsze – skutecznym reagowaniu na rzeczywiste zagrożenia i zapewnianiu bezpieczeństwa organizacji.