Kluczowe wnioski z ocen MITRE ATT&CK® z 2024 r.

W miarę wzrostu popularności i stopnia zaawansowania cyberataków oraz pogłębiania się luki w umiejętnościach w zakresie cyberbezpieczeństwa wiele organizacji zwraca się w stronę usług zarządzanego wykrywania i reagowania (MDR). Jednak znalezienie odpowiedniego dostawcy MDR może być prawdziwym wyzwaniem. Skąd wiadomo, czy danej usłudze uda się nadążyć za współczesnymi wyrafinowanymi zagrożeniami cybernetycznymi? W tym miejscu z pomocą przychodzą oceny MITRE, pomagające organizacjom w podejmowaniu mądrzejszych wyborów, dostarczając cennych informacji na temat usług zarządzanych od jedenastu różnych dostawców. Dlatego w dalszej części tego artykułu przyjrzymy się kluczowym czynnikom, które mogą pomóc w podjęciu najlepszej decyzji dotyczącej Twoich potrzeb w zakresie cyberbezpieczeństwa.

Oceny MITRE ATT&CK® dla usług zarządzanych

W tegorocznej edycji MITRE Engenuity ATT&CK ® Evaluations wykorzystano wielowątkowe ataki w celu oceny każdego uczestniczącego dostawcy. Pierwsza naśladowała taktykę i techniki ataku grupy cyberprzestępczej menuPass. Hakerzy ci są znani z tego, że atakują różne branże na całym świecie, koncentrując się na kradzieży poufnych informacji, takich jak własność intelektualna. Ich ataki znane są z wykorzystywania technik „życia poza ziemią” w celu uniknięcia wykrycia oraz wykorzystywania relacji z osobami trzecimi do kradzieży danych uwierzytelniających.

Drugi wykorzystywał oprogramowanie ransomware BlackCat napisane w języku RUST. Oprogramowanie ransomware jest niezależne od systemu operacyjnego i może atakować systemy Windows i Linux z wielu branż. BlackCat został zaprojektowany, aby zakłócać obronę systemów, szyfrować dane i utrudniać procesy odzyskiwania. Obydwa scenariusze stanowią odpowiednie przykłady typów ataków, których celem są współczesne firmy.

Wyniki testów MITRE MDR

Pomimo tego, że osiągnięcie dobrych wyników przez Bitdefender w ocenach MITRE MDR jest dla nas z pewnością powodem do dumy, pojedynczy wynik nie jest w stanie odzwierciedlić całej złożonej problematyki, która stoi za wyborem odpowiedniej usługi MDR. Oceny te są cenne, ponieważ uwzględniają szereg wzajemnie powiązanych wskaźników, zapewniając bardziej szczegółowy obraz możliwości dostawcy. Ważne jest jednak, aby rozpatrywać dane w kontekście, ponieważ niektórzy dostawcy mogą zdecydować na skupieniu się na konkretnych wskaźnikach na swoją korzyść.

Dlatego w tej części artykułu przyjrzymy się kluczowym wskaźnikom z oceny usług Bitdefender MDR i wyjaśnimy, co one oznaczają dla Twojej firmy. Zbadamy także niektóre aspekty jakościowe, takie jak styl raportowania, które można wywnioskować z komunikacji z dostawcami dostarczanej przez MITRE. Takie podejście pomoże Ci zrozumieć, jak nasza wydajność przekłada się na Twoje konkretne potrzeby w zakresie bezpieczeństwa.

Tabela przedstawia wyniki dla wszystkich dostawców w ocenianych kategoriach.

Testy MITRE

Pracownicy MITRE oceniali rozwiązania MDR w ramach serii 43 podetapów, reprezentujących różne etapy taktyki i technik atakujących. Dla każdego podetapu mierzone były trzy kluczowe poziomy:

1. Widoczność: określa, czy rozwiązanie dostawcy może zebrać wystarczające dane, aby zidentyfikować, czy miał miejsce określony podetap. Zasadniczo jest to test zdolności platformy do wykrycia aktywności atakującego.

Wynik 100%: Bitdefender osiągnął doskonały wynik w zakresie widoczności, co wskazuje, że rozwiązanie to może skutecznie gromadzić dane w celu zidentyfikowania wszystkich 43 podetapów taktyki i technik atakującego. To dobitny dowód, pokazujący zdolność platformy Bitdefender do „widzenia” aktywności atakujących w całym spektrum oceny.

2. Zgłoszone (niepodlegające działaniu): w tym przypadku ocena wykracza poza zwykłe wykrycie działania. Eksperci MITRE sprawdzali, czy dostawca może nie tylko zidentyfikować podetap, ale także go zgłosić.

Wynik 95%: wynik Bitdefender tutaj również jest imponujący, przekraczając średni zasięg wynoszący 80%. Oznacza to, że rozwiązanie Bitdefender może nie tylko zidentyfikować większość podetapów (41 z 43), ale także je zgłosić.

3. Zgłoszone (wykonalne): w idealnym scenariuszu dostawca nie tylko wykrywa i raportuje podetap, ale także dostarcza dodatkowe informacje, takie jak znaczniki czasu, lokalizacje, zaangażowani użytkownicy i charakter działania. Bogatszy kontekst pozwala na bardziej świadomą i skuteczną reakcję.

Wynik 93%: Z dumą ogłaszamy, że Bitdefender MDR osiągnął najwyższy wynik w kategorii „Zgłoszone – możliwe do podjęcia” w porównaniu ze średnią wynoszącą 65%. Wynik ten oznacza wyjątkową zdolność rozwiązania Bitdefender nie tylko do wykrywania i raportowania podetapów, ale także do zapewniania najcenniejszego kontekstu, w tym znaczników czasu, lokalizacji, zaangażowanych użytkowników i charakteru działania. Dzięki temu Twój zespół ds. bezpieczeństwa może podjąć szybkie i zdecydowane działania w celu ograniczenia zagrożeń.

Po ustaleniu solidnych podstaw w zakresie wykrywania aktywności atakujących, które prezentuje Bitdefender MDR, przyjrzyjmy się teraz, jak skutecznie przekładamy wykrywanie na działanie. Tutaj w grę wchodzi średni czas wykrycia (MTTD).

Szybka reakcja i świadome decyzje

Średni czas wykrycia (MTTD) mierzy średni czas potrzebny dostawcy zabezpieczeń na zidentyfikowanie i powiadomienie o potencjalnej aktywności atakującego. Niższy MTTD ogólnie wskazuje na szybsze możliwości wykrywania i reagowania. Średni czas MTTD Bitdefendera wynosi 24 minuty, czyli znacznie szybciej niż średni czas odpowiedzi innych dostawców (42 minuty).

Zespół Bitdefender skupia się na znalezieniu równowagi pomiędzy terminowym wykrywaniem a minimalizacją niepotrzebnego szumu. Priorytetem Bitdefender jest dostarczanie alertów o wysokiej dokładności, które dostarczają przydatnych informacji, umożliwiając zespołowi ds. bezpieczeństwa skuteczne reagowanie na rzeczywiste zagrożenia. Ważne jest, aby uwzględnić MTTD w połączeniu z innymi wskaźnikami, zwłaszcza liczbą generowanych alertów lub hałasem.

Minimalizacja hałasu dla maksymalnej wydajności

Krytycznym aspektem każdego rozwiązania MDR jest jego zdolność do odróżniania rzeczywistych zagrożeń od nieistotnych szumów. Zespoły ds. bezpieczeństwa są często bombardowane przytłaczającą liczbą alertów, co utrudnia skupienie się na najbardziej krytycznych kwestiach.

W ocenach MITER MDR zespół Bitdefender MDR nadał priorytet równowadze pomiędzy minimalizacją hałasu i utrzymaniem wysokiej wierności alertów. Podczas gdy niektórzy dostawcy generowali setki, a nawet tysiące alertów, Bitdefender MDR wygenerował znacznie mniejszą liczbę alertów w porównaniu ze średnią w branży (130 e-maili i 389 alertów konsoli).

Bitdefender MDR – co może dać Twojej firmie?

Mniejsze zmęczenie alertami: rozwiązanie Bitdefender MDR pomaga zespołom ds. bezpieczeństwa uniknąć przeciążenia informacjami, wyświetlając mniejszą liczbę alertów (54 e-maile i 28 alertów konsoli). Dzięki temu mogą skupić swoją uwagę na najważniejszych zagrożeniach.

Nadawanie priorytetów zdarzeniom o dużej istotności: koncentracja zespołu Bitdefender na solidności gwarantuje, że znaczna część alertów (77% e-maili) jest klasyfikowana jako krytyczna lub o wysokiej istotności, dzięki czemu zespoły ds. bezpieczeństwa mogą nadać priorytet najbardziej wpływowym zagrożeniom.

Wnioski przydatne do wykorzystania: ilość nie równa się jakość. Priorytetem zespołu Bitdefender jest zapewnienie jasnych i zwięzłych informacji w ramach każdego alertu, umożliwiając zespołom ds. bezpieczeństwa podjęcie zdecydowanych kroków w celu ograniczenia zidentyfikowanych zagrożeń.

Bitdefender MDR – kluczowe wnioski

Ocena MITRE MDR ukazuje mocne strony Bitdefender MDR: wyjątkowe wykrywanie zagrożeń, spostrzeżenia przydatne do podjęcia działań (najwyższe wśród uczestników w kategorii „Zgłoszone-możliwe do podjęcia”) oraz zaangażowanie w minimalizowanie zmęczenia alertami. Przekłada się to na skuteczne rozwiązanie, które umożliwia zespołom ds. bezpieczeństwa skupienie się na tym, co najważniejsze – skutecznym reagowaniu na rzeczywiste zagrożenia i zapewnianiu bezpieczeństwa organizacji.

Jeśli chciałbyś poznać więcej produktów firmy Bitdefender z linii GravityZone i dowiedzieć się, w jaki sposób mogą zabezpieczyć Twoją działalność przed najnowszymi cyberzagrożeniami, to sprawdź tę stronę.