Задълбочените, независими тестове са жизненоважен ресурс за анализиране на възможностите на доставчика да се предпази от все по-сложни заплахи за организацията. И може би никоя оценка не се ползва с по-голямо доверие от годишната оценка MITRE Engenuity ATT&CK.

Това тестване е от решаващо значение за оценката на доставчиците, тъй като е практически невъзможно да се оценят доставчиците на киберсигурност въз основа на техните собствени твърдения за ефективност. Заедно с проверките на референциите на доставчиците и оценките за доказване на стойността (POV) – изпитание в реално време – резултатите на MITRE добавят допълнителни обективни данни за цялостна оценка на доставчиците на киберсигурност.

Нека се потопим в резултатите от оценката на MITRE ATT&CK за 2023 г. Ще разясним методологията на MITRE за тестване на доставчиците на услуги за сигурност срещу реални заплахи, ще предложим нашата интерпретация на резултатите и ще определим основните изводи, произтичащи от оценката на Cynet.

Как MITRE Engenuity тества доставчиците по време на оценката?

Оценката MITRE ATT&CK се извършва от MITRE Engenuity и тества решенията за защита на крайни точки срещу симулирана последователност от атаки, базирана на реални подходи, използвани от добре познати групи за напреднали постоянни заплахи (APT). В рамките на 2023 MITRE ATT&CK Evaluation бяха тествани решенията на 31 доставчици, като бяха имитирани последователностите от атаки на Turla – усъвършенствана група за заплахи, базирана в Русия, за която е известно, че е заразила жертви в над 45 държави.

Важна уговорка е, че MITRE не класира и не оценява резултатите на доставчиците. Вместо това се публикуват необработените данни от тестовете, както и някои основни онлайн инструменти за сравнение. След това купувачите използват тези данни, за да оценят доставчиците въз основа на уникалните приоритети и нужди на своята организация. Интерпретациите на участващите продавачи на резултатите са точно такива – техни интерпретации.

И така, как интерпретирате резултатите?

Това е чудесен въпрос – такъв, какъвто много хора си задават в момента. Резултатите от оценката на MITRE ATT&CK не са представени във формат, който много от нас са свикнали да усвояват (гледам те, магическа графика с квадранти).

А независимите изследователи често обявяват „победители“, за да облекчат познавателното натоварване от това да разберем кои доставчици са най-добре представилите се. В този случай определянето на „най-добрия“ доставчик е субективно. Което, ако не знаете какво да търсите, може да ви се стори неприятно, ако вече сте разочаровани от опитите да прецените кой доставчик на услуги за сигурност е подходящ за вашата организация.

След като сме направили тези уговорки, нека сега да разгледаме самите резултати, за да сравним и съпоставим представянето на участващите доставчици спрямо Turla.

Обобщение на резултатите от MITRE ATT&CK

Следващите таблици представят анализа и изчисленията на Cynet на резултатите от тестовете MITRE ATT&CK на всички доставчици за най-важните измервания: Цялостна видимост, точност на откриването и цялостна производителност. Съществуват много други начини за разглеждане на резултатите на MITRE, но ние считаме, че те са най-показателни за способността на дадено решение да открива заплахи.

Общата видимост е общият брой стъпки на атаката, открити във всички 143 подстъпки. Cynet определя Качеството на откриването като процента на подстъпките на атаката, които включват „Аналитични открития – тези, които идентифицират тактиката (защо може да се извършва дадена дейност) или техниката (както защо, така и как се извършва техниката).

Освен това е важно да се разгледа как се е представяло всяко решение, преди доставчикът да коригира настройките на конфигурацията поради пропускане на заплаха. MITRE позволява на доставчиците да преконфигурират системите си, за да се опитат да открият заплахи, които са пропуснали, или да подобрят информацията, която предоставят за откриване. В реалния свят не разполагаме с лукса да преконфигурираме системите си поради пропуснато или лошо откриване, така че по-реалистичният показател е откриването преди въвеждането на промени в конфигурацията.

Как се справя Cynet

Въз основа на анализа на Cynet нашият екип се гордее с представянето ни срещу Turla в тазгодишната оценка MITRE ATT&CK, като надминахме повечето доставчици в няколко ключови области. Ето нашите най-важни изводи:

• Cynet постигна 100% откриване: (19 от 19 стъпки на атака) без промени в конфигурацията
• Cynet осигури 100% видимост: (143 от 143 подстъпки на атаката) без промени в конфигурацията
• Cynet осигурява 100% аналитично покритие: (143 от 143 открития) без промени в конфигурацията.
• Cynet осигурява 100% откривания в реално време: (0 забавяния при всички 143 откривания)

Вижте пълния анализ на представянето на Cynet в оценката на MITRE ATT&CK за 2023 г.

Нека се потопим малко по-дълбоко в анализа на Cynet на някои от резултатите.

Cynet е с най-добри резултати при оценката на видимостта и качеството на откриването. Този анализ илюстрира колко добре се справя дадено решение с откриването на заплахи и предоставянето на контекста, необходим, за да може откритията да бъдат използвани. Пропуснатите открития са покана за пробив, докато откритията с лошо качество създават ненужна работа за анализаторите по сигурността или потенциално водят до игнориране на сигнала, което отново е покана за пробив.