Oceny MITRE ATT&CK® 2022 – dlaczego detekcje, które można podjąć, mają znaczenie

31 marca 2022 roku opublikowano wyniki ostatnich testów Oceny MITRE ATT&CK dla rozwiązań cyberbezpieczeństwa. Podczas testów MITRE przyjrzało się 30 rozwiązaniom od wiodących firm zajmujących się cyberbezpieczeństwem, w tym Bitdefenderowi. Antywirusy zostały przetestowane pod kątem ich zdolności do wykrywania taktyk i technik zespołów Wizard Spider i Sandworm.

Wyniki testów MITRE ATT&CK w 2022 roku

Czwarta runda ocen MITRE skupiała się na technice Data Encrypted for Impact (T1486). Cyberprzestępcy mogą szyfrować dane w systemach docelowych lub w dużej liczbie systemów w sieci, aby zakłócić dostępność zasobów systemowych i sieciowych. Do reprezentowania branży oprogramowania ransomware wybrano Wizard Spider, znany ze złośliwego oprogramowania Ryuk (S0446) i Conti (S0575).
Zespół Sandworm, znany ze złośliwego oprogramowania NotPetya (S0368), reprezentuje bardziej złowrogie złośliwe oprogramowanie, którego celem jest spowodowanie nieodwracalnych zniszczeń. Obydwa są wyborem bardzo na czasie – po niedawnym wycieku oprogramowanie ransomware Conti jest szczegółowo badane przez badaczy bezpieczeństwa, podczas gdy ransomware takie jak NotPetya są powszechnie instalowane na Ukrainie w czasie trwającej wojny.

Co sprawia, że oceny MITRE ATT&CK® są wyjątkowe i wartościowe?

Na rynku pełnym przesadzonych roszczeń, weryfikacja możliwości poprzez niezależne testy przeprowadzane przez strony trzecie ma kluczowe znaczenie. AV-Comparatives i AV-TEST to tylko dwie z dobrze znanych organizacji zajmujących się oceną rozwiązań bezpieczeństwa, a oceny MITRE Engenuity ATT&CK cieszą się coraz większą popularnością wśród dostawców i praktyków zajmujących się bezpieczeństwem.

Oceny MITRE ATT&CK są wyjątkowe pod wieloma względami. Zamiast testować zdolność rozwiązania do blokowania cyberzagrożeń, MITRE emuluje pełne zachowanie wyrafinowanych hakerów, którzy infiltrują warstwy ochronne testowanego systemu. W tym celu blokowanie lub możliwości zapobiegawcze testowanego rozwiązania zabezpieczającego są wyłączone, dzięki czemu ocena może skupić się na możliwościach wykrywania, telemetrii i analityki. Struktura bazy wiedzy MITRE ATT&CK służy do zapewnienia wspólnego słownictwa i dostosowania dla wszystkich ocenianych dostawców.

Zrozumienie wyników oceny ATT&CK może być trudne, ponieważ MITRE Engenuity nie publikuje analiz porównawczych, pozostawiając to do oceny indywidualnym osobom. Nie ma żadnych wyników, rankingów ani ocen. Zamiast tego mamy do czynienia z oceną opisową, która pokazuje, jak każdy dostawca podchodzi do wykrywania zagrożeń w kontekście bazy wiedzy ATT&CK. Analitycy firmy Forrester celnie podsumowali wyzwania związane z marketingiem ocen ATT&CK na blogu „Winning” MITRE ATT&CK, Losing Sight Of Customers.

Ostatecznym konkurentem wszystkich uczestników ocen ATT&CK są podmioty zagrażające, takie jak grupy hakerskie. Oceny MITRE pomagają dostawcom zabezpieczeń wyciągnąć wnioski z tych ćwiczeń i ulepszyć nasze narzędzia bezpieczeństwa. Członkowie zespołu Bitdefender są bardzo dumni, że ponad jedna trzecia uczestniczących dostawców licencjonuje od nich jedną lub więcej technologii, potwierdzając ich wartość.

Jak ocenić jakość wykrywania?

Brak konkurencyjnych rankingów jest niezwykłą cechą ocen ATT&CK, ale nie powinien zniechęcać społeczności zajmującej się cyberbezpieczeństwem do poświęcania czasu na zrozumienie wyników. Wyniki stanowią doskonałe źródło zrozumienia zachowania testowanych rozwiązań i stanowią uzupełnienie innych niezależnych raportów stron trzecich.

Tegoroczne scenariusze ewaluacyjne ATT&CK zawierały 109 podetapów obejmujących szeroki zakres taktyk i technik ATT&CK. Jednym z najprostszych sposobów wizualizacji taktyk i technik uwzględnionych w bieżącej rundzie ocen ATT&CK jest użycie ATT&CK Navigator – internetowego narzędzia firmy MITRE do wizualizacji matrycy ATT&CK.

Nawigator ATT&CK z nałożoną warstwą na potrzeby bieżącej rundy ocen MITRE. Poziome kolumny reprezentują taktykę, pionowe rzędy reprezentują techniki, różne kolory identyfikują techniki stosowane przez jedną (lub obie) szkodliwe grupy. 

Dla każdego podetapu wymieniona jest najwyższa osiągnięta kategoria wykrywalności. Kategoria wykrywania informuje, czy rozwiązanie zabezpieczające ma możliwość zobaczenia zachowania (telemetria), ma możliwości analityczne, aby powiedzieć, co cyberprzestępca, który atakuje system próbuje osiągnąć (taktyka) lub dostarcza szczegółowych informacji na temat sposobu wykonania akcji (technika).

Wyniki Bitdefender w testach przeprowadzonych przez MITRE

Podczas testów dostawcy systemów antywirusowych otrzymują jedną z następujących „ocen” za każdy z podetapów MITRE.

• Brak — brak wykrycia podetapu lub poniżej minimalnych wymaganych szczegółów
• Telemetria – zebrano informacje związane z podetapem, ale nie zinterpretowano ich (tylko surowe dane)
• Ogólne — podetap jest podejrzany, ale nie ma więcej szczegółów. Do tej kategorii zaliczają się wykrycia oprogramowania chroniącego przed złośliwym oprogramowaniem (bez dodatkowego kontekstu).
• Taktyka — podetap został zidentyfikowany jako złośliwy. Sprzedawca wie, co się stało, ale nie, w jaki sposób przebiegł atak. Na przykład wykryto ruch boczny z punktu A do B, ale nie jest jasne, w jaki sposób ugrupowania zagrażające przemieszczały się między różnymi segmentami.
• Technika – sprzedawca rozumie co i jak się stało. Na przykład wykryto ruch boczny z punktu A do punktu B przy użyciu programu PsExec z poświadczeniami skradzionymi z innego komputera.
• Do zasięgu Analytics wliczają się tylko oceny z zakresu ogólnego, taktyki i techniki. Wysoki zasięg analityczny pozwala zidentyfikować dostawców, którzy nie tylko zbierają właściwe dane (widoczność), ale także stosują zaawansowaną analitykę w celu dokładnego korelowania zdarzeń zebranych z różnych czujników. We własnych ocenach Bitdefender zdefiniował „wysoki” jako obejmujący ponad 90% podetapów. Tylko 7 dostawców spełniło w tym roku to kryterium jakości w zakresie pokrycia analitycznego.

Czwarta runda ocen ATT&CK potwierdziła, że Bitdefender jest liderem w dostarczaniu wysoce skutecznego oprogramowania antywirusowego, które umożliwia skuteczne operacje bezpieczeństwa i redukuje fałszywe alerty.
Bitdefender wykrył 97% wszystkich głównych etapów ataku na komputery z systemem Windows i 100% wszystkich technik przeciwnika zastosowanych przeciwko systemom Linux.

Platforma Bitdefender GravityZone zapewniła spostrzeżenia analityczne dla 106 ze 109 podetapów (97%) oraz opisy na poziomie techniki (najwyższy możliwy poziom pokrycia analitycznego) dla 103 ze 109 podetapów (95%).
Aby zapewnić porównanie tych wyników, średni zasięg analityki dla innych dostawców wyniósł 71%, a średni zasięg opisów na poziomie techniki wyniósł tylko 65%.

AKTUALIZACJA 4.04.2022:

Niektórzy z klientów i partnerów Bitdefender pytali o krążący w Internecie wykres „Wyniki badania MITRE 2022: ogólne wykrywanie i ochrona”.

Każdego roku niektórzy dostawcy stosują wprowadzające w błąd praktyki marketingowe przy interpretacji wyników MITER i innych ocen. Główną wartością ocen ATT&CK jest zapewnienie wglądu w możliwości wykrywania i analizy różnych rozwiązań bezpieczeństwa. Ocena ochrony jest najnowszym dodatkiem do ocen ATT&CK i udział dostawców jest opcjonalny.

Niestety, wielu dostawców zdecydowało się w tym roku skoncentrować swój marketing na wynikach testów wtórnych i w mylący sposób uwzględniło innych dostawców, którzy zdecydowali się nie brać udziału w tym teście, uzyskując średni wynik tych dostawców jako zero. W rzeczywistości szeroko rozpowszechniany artykuł na temat Help Net Security został usunięty, ponieważ wydawca nie mógł sprawdzić dokładności danych.

1. Uczestnicy płacą za udział w ocenach ATT&CK – a ocena „Ochrona” wymaga dodatkowej opłaty od dostawców. Wielu dostawców, w tym Bitdefender, zdecydowało się zrezygnować z tych testów ochrony, ponieważ inne niezależne testy mają na celu zapobieganie. Bitdefender doszedł do wniosku, że dodatkowe koszty i wysiłek nie zapewnią znaczącej wartości badawczej zespołowi Bitdefender Labs, ponieważ w ostatnich miesiącach i latach przeprowadzili wiele takich testów z AV-Comparatives i AV-TEST. Wynik Bitdefender dla testów ochrony w teście MITRE ATT&CK nie wynosi 0, lecz „Nie dotyczy”. Aby porównać rozwiązanie Bitdefender z innymi dostawcami, sugerujemy skorzystanie z niezależnych porównań w witrynach takich jak AV-Comparatives lub AV-TEST.
2. Uważaj na dostawców, którzy zmieniają oryginalną terminologię MITRE – to, co nazywa się „współczynnikiem wykrywalności” lub „ogólną wykrywalnością”, jest metryką zwaną przez MITRE „widocznością”. Widoczność to połączenie wykrycia niskokontekstowego (telemetria – surowe dane) i wysokiego kontekstu (zrozumienie, co się stało i jak to się stało). Wysoka widoczność oznacza, że dostawcy zabezpieczeń zbierają właściwe dane, ale nie mówią nic o możliwościach analitycznych, możliwości pomocy w przypadku wystąpienia fałszywych alarmów. Potraktuj to jako sygnał ostrzegawczy, gdy sprzedawca zdecyduje się zastąpić oryginalne nazwy metryk eufemizmami (na przykład zmieniając nazwę „telemetria” na „przedstawianie dowodów”).

Jak CISO i zespoły ds. bezpieczeństwa mogą interpretować wyniki?

Ocenę tych danych zalecamy rozpocząć od zrozumienia potrzeb i zidentyfikowania technik, które są najbardziej odpowiednie dla Twojej organizacji w obecnym krajobrazie zagrożeń. To ćwiczenie może pomóc w zidentyfikowaniu luk w aktualnie wdrożonych mechanizmach zabezpieczeń i kluczowych metrykach, które należy monitorować pod kątem konkretnych potrzeb. Aby skutecznie wdrożyć framework ATT&CK, zalecamy również dostosowanie go do konkretnych priorytetów biznesowych. W tym poście na blogu firma Gartner dzieli się niektórymi najczęściej otrzymywanymi zapytaniami oraz wiodącymi praktykami dotyczącymi ram ATT&CK: MITRE ATT&CK – czy to działa; do czego tego potrzebujesz; które mogą okazać się pomocne.

Podstawową wartością rozwiązań do wykrywania i reagowania na punktach końcowych (EDR) oraz rozszerzonego wykrywania i reagowania (XDR) jest minimalizacja czasu przebywania hakerów w sieci danej firmy. Oceny MITRE ATT&CK są najcenniejsze w opisywaniu czy dostawcy gromadzą właściwe dane (telemetria) i posiadają wymagane możliwości analityczne, aby zapewnić kontekst dla tych wykryć poprzez identyfikację taktyk i technik cyberprzestępców.

Oceny ATT&CK są cennym narzędziem przy rozważaniu rozwiązań bezpieczeństwa, nie zastępują jednak sprawdzenia koncepcji. Środowisko testowe ATT&CK ma minimalny rozmiar, a ocena nie uwzględnia takich czynników, jak koszt, ilość generowanego hałasu (zmęczenie alertami) czy wyzwania związane z operacjonalizacją rozwiązań bezpieczeństwa. Zalecamy również interpretację wyników MITRE wraz z innymi niezależnymi testami stron trzecich, skupiającymi się na zapobieganiu zagrożeniom, takimi jak AV -Comparatives i AV-TEST.

Oceniając wyniki, zalecamy wyciągnięcie własnych wniosków, a nie poleganie wyłącznie na interpretacjach dostawców zabezpieczeń (nawet naszych!). Jedną ze zmian wprowadzonych w tym roku jest to, że każdy podetap ma tylko jedną kategorię wykrywania, która reprezentuje najwyższy poziom kontekstu udostępnianego analitykom we wszystkich wykryciach w tym podetapie. To istotna zmiana, gdyż wysoka punktacja w niektórych kategoriach niekoniecznie jest pozytywnym sygnałem. Na przykład, jeśli dostawca ma wysoki stopień zasięgu telemetrii, może to oznaczać, że jego analizy nie były w stanie wzbogacić podstawowych danych telemetrycznych, a zasięg analityki jest ograniczony.

Jeśli chcesz poznać więcej szczegółów dotyczących produktów Bitdefender lub otrzymać niezobowiązującą ofertę, to zapraszamy do kontaktu.