Търсене
Close this search box.

Какво означава оценката на MITRE?

MITRE ATT&CK имитират добре познати групи за заплахи, вдъхновени от публично достъпни разузнавателни данни за заплахи. Оценките не класират доставчиците и техните решения; въпреки това организациите трябва да ги използват, за да определят кои решения най-добре се справят с пропуските в киберсигурността, допълват съществуващата им реализация на защита (продукт за мрежова сигурност, съществуващи решения за защита на крайни точки и т.н.) и отговарят на бизнес нуждите им.

Оценката се състои от два теста: Оценка на откриването и превенцията.

Каква е оценката на откриването?

MITRE Engenuity емулира потока на атаката, като разглежда видимостта на оценяваните решения с телеметрия за по-късен анализ или за добавяне на допълнителен контекст чрез анализи. Телеметрията или анализите изискват оперативен екип по сигурността да ги задейства, за да разследва и реагира на атаката и да подобри възможностите за превенция в бъдеще, като търси по-добра и автоматизирана защита.

По време на теста нападателят не можеше да бъде блокиран по пътя си. Това не е тест, при който се оценяват автоматизираните възможности за превенция, откриване и реагиране. При него се оценява само видимостта на поведението на нападателя с помощта на телеметрия или идентифициране на техниката MITRE ATT&CK (анализ).

Оценката на откриването не тества възможностите за защита на оценяваните продукти.

Ключови моменти, които трябва да се вземат предвид

Много хора ще разгледат само обобщенията на резултатите от откриването. Важно е обаче да се обърне внимание на поне три показателя, които помагат на екипите по сигурността да вземат информирани решения:

  • Вид видимост: Разпределението между обхвата на телеметрията и аналитичното откриване. Покритието на анализите осигурява обогатени открития, които добавят критичен контекст чрез картографиране на техниката ATT&CK и описания на предупрежденията. Контекстът позволява на анализаторите да разберат по-рано злонамереното поведение и атаките, което намалява времето за откриване. В същото време покритието на телеметрията е полезно за ловците и отговорниците на инциденти, които трябва да се потопят по-дълбоко в поведението на заплахата.
  • Промени в конфигурацията: Друга критична метрика е процентът на откритията с модификатори. Модификатор „забавяне“ означава, че откриването не е било на разположение на анализаторите веднага, изисквайки допълнителна обработка от доставчика, и е достъпно за клиентите в реално изпълнение. Модификатор „Промяна в конфигурацията“ означава, че доставчикът е коригирал сензора, обработката на данните или потребителския интерфейс, за да покаже откриване по време на теста. С други думи, продуктът не се е държал така, както се държи в реална среда.
  • Оперативна ефективност: При проектирането на ефективно решение за сигурност на крайни точки критичният принцип е балансиране на съотношението сигнал/шум. Теоретично създаването на решение, което постига 100% откриване, е лесно – просто открива „всичко“, като е много шумно и има много фалшиви положителни резултати за решаване. Разбира се, такова решение би било почти безполезно, тъй като би било огромен разход на ресурси, включително на анализатори по сигурността. Точно затова традиционните тестове за защита на крайни точки включват метрика за фалшивите положителни резултати.

При оценките на защитата и откриването не се анализират фактори, които са от съществено значение за жизнеспособността на прилагането на стратегията за сигурност, като например фалшиви положителни резултати, потребление на ресурси в крайната точка или в мрежата и запазване на телеметрия. Някои доставчици се възползват от това ограничение и конфигурират решенията си така, че да са много чувствителни или скептични, като задействат сигнали и откриване на ниво техника без достатъчна детерминираност, генерирайки претоварване в екипите по сигурността, които работят с тях.

Фигура 1. Преценете дали 100 % покритие на подетапите е това, от което се нуждае вашата организация, в зависимост от възможностите на вашия екип по сигурността и шума от фалшиви положителни резултати, които решението генерира – с конфигурацията, използвана в оценката на MITRE.

1- Организации без екип за операции по сигурността. Тяхната стратегия за сигурност трябва да се основава на:

  • слоеве за сигурност от мрежата до крайната точка
  • надеждно автоматизирано предотвратяване, откриване и реагиране (автоматизирано предотвратяване и EDR)
  • допълнени с MDR

2- Организации с екип за операции по сигурността. Тяхната стратегия за сигурност се основава на добър баланс между превенция, откриване и реагиране, управлявани от екип за операции по сигурността с рационализирано работно натоварване.

3- Организациите с екип за операции по сигурността могат да бъдат претоварени от неефективни решения, които откриват всичко.

Шумните EDR решения генерират твърде много фалшиви положителни резултати, които трябва да се решават, и прекомерни предупреждения, които трябва да се управляват.

4- MDR и зрели екипи за операции по сигурността с ловци и собствени анализи на сигурността, базирани на подробна телеметрия

Продукти на WatchGuard в оценката на откриването

WatchGuard представи WatchGuard EDR, предназначен да допълни съществуващите решения за защита на крайните точки. Нейната уникална услуга за автоматизирано откриване и реагиране е услугата Zero-Trust Applications Service. Тази услуга обаче не можа да бъде тествана, за да се избегне блокирането на емулацията. За теста решението беше конфигурирано да действа като сензор, който да събира телеметрията и да я изпраща към единна платформа, където работят възможностите за анализ.

Какво представлява оценката на защитата?

Този тест оценява способността на решенията за защита (предотвратяване на компрометирането на крайни точки) чрез блокиране на техниките, които емулираният участник в заплахата използва. За разлика от теста за откриване, доставчиците могат да изберат да не бъдат оценявани при този тест.

Продукти на WatchGuard в оценката за защита

WatchGuard EPDR щеше да бъде най-доброто ни решение. Въпреки това, тъй като трябваше да използваме същото решение за оценката на откриването, представихме WatchGuard EDR, тъй като по време на оценката EPDR не можеше да бъде конфигуриран да пропуска конкретни открития. От друга страна, WatchGuard EDR не разполага с превантивни технологии, като например наблюдение на колективното разузнаване в облака, контекстуално откриване, анти-експлойт и т.н., които например блокират изтеглянето на зловреден софтуер. Вследствие на това резултатите не отразяват нашите възможности за защита. Всички открития в този тест се дължат на услугата Zero-Trust Application Service, която класифицира всички неизвестни изпълними файлове в момента на изпълнението им, като по този начин предотвратява изпълнението на зловреден софтуер.

Как да проверите оценените продукти и конфигурация

Това, което се оценява в MITRE, са конкретни продукти. Всеки доставчик разполага с портфолио от решения и може да представи едно или повече от тях без ограничение. Ще трябва да знаете тестваните продукти и конкретната използвана конфигурация, например дали са конфигурирани да работят в специфичен „режим MITRE „или дали настройката за техниките за откриване е много чувствителна или скептична.

Фигура 2. Как да се запознаете с оценяваните продукти и тяхната настройка в уебстраницата за резултатите от оценката на MITRE.

Какви изводи мога да получа от оценката?

Можем да открием няколко начина, по които специалистите по сигурността могат да анализират тези оценки, за да подобрят стратегията си за откриване, като проучат следното:

От какво ниво на видимост се нуждая?
Всяка видимост изисква екип за операции по сигурността, който да се възползва от нея. Ако не разполагате с тези ресурси, това, от което се нуждаете, е решение, което в допълнение към EDR прозрачно осигурява откриване и отговор на нападателя, или под формата на автоматизирана услуга, като например услугата Zero-Trust Application Service на WatchGuard, или чрез управлявани услуги, като MDR.

Ако разполагате с екип за операции по сигурността, може би си мислите, че най-доброто решение е това, което открива всички подстъпки с техника.

Въпреки това, тъй като те откриват всички техники, използвани от нападателя, дори и по-малко детерминираната от това, че е бил атакуван, те имат потенциала да бъдат шумни, да имат висок процент на фалшиви положителни резултати и да предоставят прекомерни предупреждения.

Много доставчици при оценката нямаха видимост към някои често срещани техники, обикновено защото тези техники се използват за легитимни задачи в предприятието. В реалния живот това може да доведе до прекомерни предупреждения и много фалшиви положителни резултати.

Напротив, решенията, които са имали видимост към повечето от техниките, но не са предупреждавали за тях, т.е. когато видимостта е предимно „телеметрия“, осигуряват добра видимост за ловците на заплахи или за екип за операции по сигурността със собствена аналитична система за откриване на поведението на заплахите.

Как да използвате решенията EDR

Оценките имат за цел да покажат как различните инструменти за откриване и реагиране на крайни точки (EDR) откриват заплахи, за да предоставят на екипите за операции по сигурността представа кои продукти могат най-добре да отговорят на техните нужди в зависимост от това как ще ги използват. Да предположим, че екипът по сигурността е много зрял със SOC със свои анализи за откриване и група ловци. В този случай те може да предпочетат решение, което осигурява видимост чрез подробна телеметрия.

Други екипи може да се нуждаят от инструмент, който открива техники MITRE ATT&CK, но не генерира шум под формата на фалшиви положителни резултати. Например техниката за откриване на файлове и директории може да генерира фалшиви положителни резултати, ако се открие в компания с приложение, потребител или набор от потребители, които често посещават директории (каквито са повечето организации). В този случай те често ще виждат тази техника, използвана по незлоупотребен начин.

Разбира се, ако организацията не разполага с оперативен екип по сигурността, видимостта на телеметричните или аналитичните открития няма никакво значение, тъй като няма да има анализатори, които да разследват или потвърждават сигналите. Организациите, които не разполагат с ресурси за наличие на екип по сигурността, трябва да основават стратегията си за сигурност на слоеве на сигурност от мрежата до крайната точка, надеждна автоматизирана превенция, откриване и реагиране (автоматизирана превенция и EDR) и оценка на възможността за допълване на сигурността им с MDR.

Къде да приложите компенсаторни контроли, за да подобрите състоянието на сигурността си.

Ефективната и ефикасна защита не е просто предотвратяване или откриване, а ефективно и с най-ниски разходи за притежание комбиниране на автоматизирани превантивни технологии с откриване и реагиране чрез инструменти или интегрирани инструменти със специалисти по киберсигурност и процеси.

Оценката показва области за подобрение в цялостната стратегия за сигурност на екипите по сигурността. Да предположим, че дадена техника не е открита, защото вероятно генерира много шум в екипа за операции по сигурността. В този случай вероятно е много по-добре да се приложат превантивни контроли за тази техника, като например сигурност на мрежата, идентичността или електронната поща.

Изводи и препоръки

100% покритие може да не е най-подходящото за вашата организация, особено ако нямате екип по сигурността, който да управлява телеметричните и аналитичните сигнали. Ако случаят е такъв, помислете за надеждна автоматизирана превенция, откриване и реагиране (автоматизирана превенция и EDR), като например WatchGuard EPDR, която включва услугата Zero-Trust Application Service и Threat Hunting Service в допълнение към EDR, и преценете възможността за допълване на тяхната сигурност с MDR.
Дори ако организацията ви разполага с екип за операции по сигурността, оценете във вашата среда процента на фалшиво положителните резултати при откриване на ниво тактика и техника със същата конфигурация, използвана при оценката.
Тествайте техниките и процедурите, които не се откриват от готовите продукти, изискващи промени в конфигурацията или забавяне. Те не биха могли да бъдат включени в продукта, тъй като изискват ръчна намеса от страна на доставчика.
Оценявайте решенията на доставчиците, докато MITRE ги тества, като проверявате конфигурацията им. Анализирайте процента на фалшиво положителните резултати на аналитичните сигнали и въздействието върху производителността на крайните точки.
И накрая, препоръчваме ви да научите повече за нашите решения за сигурност на крайни точки, особено за WatchGuard EPDR, нашия подход за сигурност, базиран на слоеве, включително услугата Zero Trust Application Service и услугата Threat Hunting Service, които откриват и блокират заплахите върху технологиите EDR без намесата на екип за операции по сигурността.

Източник: watchguard.com

Подобни публикации

16 април 2024

CISA издаде извънредна директива

На 11 април Агенцията за киберсигурност и инфраструктурна сигурност...
15 април 2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви ареста и повдигането на...
15 април 2024

Daixin Team ransomware е атакувала успешно Omni...

Бандата Daixin Team ransomware е извършила неотдавнашна кибератака ...
15 април 2024

За проблемите с работната сила в сферата киберс...

  За проблемите с работната сила в сферата киберсигурността в ...
15 април 2024

КНДР се възползва от 2 подтехники: Призрачно от...

Този месец MITRE ще добави две подтехники към своята база данни ATT...
15 април 2024

Хакер твърди, че е пробил Giant Tiger и пусна 2...

Канадската верига за търговия на дребно Giant Tiger разкрива наруше...
14 април 2024

MuddyWater приемат нов C2 инструмент "DarkBeatC...

Иранският участник в заплахите, известен като MuddyWater, е причисл...
14 април 2024

Критичен недостатък на Palo Alto Networks PAN-O...

Palo Alto Networks предупреждава, че критичен недостатък, засягащ с...
13 април 2024

Подъл скимер на кредитни карти, маскиран като б...

Изследователи в областта на киберсигурността са открили скимиращо у...
Бъдете социални
Още по темата
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Последно добавени
16/04/2024

CISA издаде извънредна дире...

На 11 април Агенцията за киберсигурност...
15/04/2024

CP3O е арестуван

Министерството на правосъдието на САЩ обяви...
15/04/2024

Daixin Team ransomware е ат...

Бандата Daixin Team ransomware е извършила...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!