MITRE ATT&CK имитират добре познати групи за заплахи, вдъхновени от публично достъпни разузнавателни данни за заплахи. Оценките не класират доставчиците и техните решения; въпреки това организациите трябва да ги използват, за да определят кои решения най-добре се справят с пропуските в киберсигурността, допълват съществуващата им реализация на защита (продукт за мрежова сигурност, съществуващи решения за защита на крайни точки и т.н.) и отговарят на бизнес нуждите им.
Оценката се състои от два теста: Оценка на откриването и превенцията.
MITRE Engenuity емулира потока на атаката, като разглежда видимостта на оценяваните решения с телеметрия за по-късен анализ или за добавяне на допълнителен контекст чрез анализи. Телеметрията или анализите изискват оперативен екип по сигурността да ги задейства, за да разследва и реагира на атаката и да подобри възможностите за превенция в бъдеще, като търси по-добра и автоматизирана защита.
По време на теста нападателят не можеше да бъде блокиран по пътя си. Това не е тест, при който се оценяват автоматизираните възможности за превенция, откриване и реагиране. При него се оценява само видимостта на поведението на нападателя с помощта на телеметрия или идентифициране на техниката MITRE ATT&CK (анализ).
Оценката на откриването не тества възможностите за защита на оценяваните продукти.
Много хора ще разгледат само обобщенията на резултатите от откриването. Важно е обаче да се обърне внимание на поне три показателя, които помагат на екипите по сигурността да вземат информирани решения:
При оценките на защитата и откриването не се анализират фактори, които са от съществено значение за жизнеспособността на прилагането на стратегията за сигурност, като например фалшиви положителни резултати, потребление на ресурси в крайната точка или в мрежата и запазване на телеметрия. Някои доставчици се възползват от това ограничение и конфигурират решенията си така, че да са много чувствителни или скептични, като задействат сигнали и откриване на ниво техника без достатъчна детерминираност, генерирайки претоварване в екипите по сигурността, които работят с тях.
Фигура 1. Преценете дали 100 % покритие на подетапите е това, от което се нуждае вашата организация, в зависимост от възможностите на вашия екип по сигурността и шума от фалшиви положителни резултати, които решението генерира – с конфигурацията, използвана в оценката на MITRE.
1- Организации без екип за операции по сигурността. Тяхната стратегия за сигурност трябва да се основава на:
2- Организации с екип за операции по сигурността. Тяхната стратегия за сигурност се основава на добър баланс между превенция, откриване и реагиране, управлявани от екип за операции по сигурността с рационализирано работно натоварване.
3- Организациите с екип за операции по сигурността могат да бъдат претоварени от неефективни решения, които откриват всичко.
Шумните EDR решения генерират твърде много фалшиви положителни резултати, които трябва да се решават, и прекомерни предупреждения, които трябва да се управляват.
4- MDR и зрели екипи за операции по сигурността с ловци и собствени анализи на сигурността, базирани на подробна телеметрия
WatchGuard представи WatchGuard EDR, предназначен да допълни съществуващите решения за защита на крайните точки. Нейната уникална услуга за автоматизирано откриване и реагиране е услугата Zero-Trust Applications Service. Тази услуга обаче не можа да бъде тествана, за да се избегне блокирането на емулацията. За теста решението беше конфигурирано да действа като сензор, който да събира телеметрията и да я изпраща към единна платформа, където работят възможностите за анализ.
Този тест оценява способността на решенията за защита (предотвратяване на компрометирането на крайни точки) чрез блокиране на техниките, които емулираният участник в заплахата използва. За разлика от теста за откриване, доставчиците могат да изберат да не бъдат оценявани при този тест.
WatchGuard EPDR щеше да бъде най-доброто ни решение. Въпреки това, тъй като трябваше да използваме същото решение за оценката на откриването, представихме WatchGuard EDR, тъй като по време на оценката EPDR не можеше да бъде конфигуриран да пропуска конкретни открития. От друга страна, WatchGuard EDR не разполага с превантивни технологии, като например наблюдение на колективното разузнаване в облака, контекстуално откриване, анти-експлойт и т.н., които например блокират изтеглянето на зловреден софтуер. Вследствие на това резултатите не отразяват нашите възможности за защита. Всички открития в този тест се дължат на услугата Zero-Trust Application Service, която класифицира всички неизвестни изпълними файлове в момента на изпълнението им, като по този начин предотвратява изпълнението на зловреден софтуер.
Това, което се оценява в MITRE, са конкретни продукти. Всеки доставчик разполага с портфолио от решения и може да представи едно или повече от тях без ограничение. Ще трябва да знаете тестваните продукти и конкретната използвана конфигурация, например дали са конфигурирани да работят в специфичен „режим MITRE „или дали настройката за техниките за откриване е много чувствителна или скептична.
Фигура 2. Как да се запознаете с оценяваните продукти и тяхната настройка в уебстраницата за резултатите от оценката на MITRE.
Можем да открием няколко начина, по които специалистите по сигурността могат да анализират тези оценки, за да подобрят стратегията си за откриване, като проучат следното:
От какво ниво на видимост се нуждая?
Всяка видимост изисква екип за операции по сигурността, който да се възползва от нея. Ако не разполагате с тези ресурси, това, от което се нуждаете, е решение, което в допълнение към EDR прозрачно осигурява откриване и отговор на нападателя, или под формата на автоматизирана услуга, като например услугата Zero-Trust Application Service на WatchGuard, или чрез управлявани услуги, като MDR.
Ако разполагате с екип за операции по сигурността, може би си мислите, че най-доброто решение е това, което открива всички подстъпки с техника.
Въпреки това, тъй като те откриват всички техники, използвани от нападателя, дори и по-малко детерминираната от това, че е бил атакуван, те имат потенциала да бъдат шумни, да имат висок процент на фалшиви положителни резултати и да предоставят прекомерни предупреждения.
Много доставчици при оценката нямаха видимост към някои често срещани техники, обикновено защото тези техники се използват за легитимни задачи в предприятието. В реалния живот това може да доведе до прекомерни предупреждения и много фалшиви положителни резултати.
Напротив, решенията, които са имали видимост към повечето от техниките, но не са предупреждавали за тях, т.е. когато видимостта е предимно „телеметрия“, осигуряват добра видимост за ловците на заплахи или за екип за операции по сигурността със собствена аналитична система за откриване на поведението на заплахите.
Оценките имат за цел да покажат как различните инструменти за откриване и реагиране на крайни точки (EDR) откриват заплахи, за да предоставят на екипите за операции по сигурността представа кои продукти могат най-добре да отговорят на техните нужди в зависимост от това как ще ги използват. Да предположим, че екипът по сигурността е много зрял със SOC със свои анализи за откриване и група ловци. В този случай те може да предпочетат решение, което осигурява видимост чрез подробна телеметрия.
Други екипи може да се нуждаят от инструмент, който открива техники MITRE ATT&CK, но не генерира шум под формата на фалшиви положителни резултати. Например техниката за откриване на файлове и директории може да генерира фалшиви положителни резултати, ако се открие в компания с приложение, потребител или набор от потребители, които често посещават директории (каквито са повечето организации). В този случай те често ще виждат тази техника, използвана по незлоупотребен начин.
Разбира се, ако организацията не разполага с оперативен екип по сигурността, видимостта на телеметричните или аналитичните открития няма никакво значение, тъй като няма да има анализатори, които да разследват или потвърждават сигналите. Организациите, които не разполагат с ресурси за наличие на екип по сигурността, трябва да основават стратегията си за сигурност на слоеве на сигурност от мрежата до крайната точка, надеждна автоматизирана превенция, откриване и реагиране (автоматизирана превенция и EDR) и оценка на възможността за допълване на сигурността им с MDR.
Ефективната и ефикасна защита не е просто предотвратяване или откриване, а ефективно и с най-ниски разходи за притежание комбиниране на автоматизирани превантивни технологии с откриване и реагиране чрез инструменти или интегрирани инструменти със специалисти по киберсигурност и процеси.
Оценката показва области за подобрение в цялостната стратегия за сигурност на екипите по сигурността. Да предположим, че дадена техника не е открита, защото вероятно генерира много шум в екипа за операции по сигурността. В този случай вероятно е много по-добре да се приложат превантивни контроли за тази техника, като например сигурност на мрежата, идентичността или електронната поща.
100% покритие може да не е най-подходящото за вашата организация, особено ако нямате екип по сигурността, който да управлява телеметричните и аналитичните сигнали. Ако случаят е такъв, помислете за надеждна автоматизирана превенция, откриване и реагиране (автоматизирана превенция и EDR), като например WatchGuard EPDR, която включва услугата Zero-Trust Application Service и Threat Hunting Service в допълнение към EDR, и преценете възможността за допълване на тяхната сигурност с MDR.
Дори ако организацията ви разполага с екип за операции по сигурността, оценете във вашата среда процента на фалшиво положителните резултати при откриване на ниво тактика и техника със същата конфигурация, използвана при оценката.
Тествайте техниките и процедурите, които не се откриват от готовите продукти, изискващи промени в конфигурацията или забавяне. Те не биха могли да бъдат включени в продукта, тъй като изискват ръчна намеса от страна на доставчика.
Оценявайте решенията на доставчиците, докато MITRE ги тества, като проверявате конфигурацията им. Анализирайте процента на фалшиво положителните резултати на аналитичните сигнали и въздействието върху производителността на крайните точки.
И накрая, препоръчваме ви да научите повече за нашите решения за сигурност на крайни точки, особено за WatchGuard EPDR, нашия подход за сигурност, базиран на слоеве, включително услугата Zero Trust Application Service и услугата Threat Hunting Service, които откриват и блокират заплахите върху технологиите EDR без намесата на екип за операции по сигурността.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
