Productos y Servicios PRODUCTOS Y SERVICIOS

Resultados de las evaluaciones ATT&CK de MITRE Engenuity 2023 (Ronda 5: Turla)

Nuestra opinión sobre esta ronda de evaluaciones de ATT&CK y cómo Sophos detectó el 99 % de la actividad de amenazas del mundo real.
Written by
September 25, 2023
Products & Services

Se lanzó la quinta ronda de evaluaciones MITRE Engenuity ATT&CK®, que evalúa la capacidad de 30 soluciones de detección y respuesta de endpoints (EDR) para detectar, analizar y describir las tácticas, técnicas y procedimientos (TTP) aprovechados por una de las amenazas más sofisticadas. grupos: Turla.

Pasaremos la mayor parte de este artículo explicando cómo Sophos logró una cobertura de detección del 99%, qué información contextual presentó Sophos Intercept X al usuario (en este caso, el equipo de evaluación de MITRE) y cómo se pueden utilizar ATT&CK Evals para ayudar a seleccionar un solución de seguridad para endpoints que se alinea con sus necesidades específicas.

Es decir, no vamos a evaluar todo lo que cubre esta ronda de evaluaciones de ATT&CK porque, francamente, eso sería imposible. Las evaluaciones ATT&CK no solo arrojan una gran cantidad de información, sino que no existe una forma única de interpretar sus resultados; no hay puntuaciones, clasificaciones ni calificaciones, y ningún proveedor es declarado “ganador”.

Hay matices en la forma en que funciona la herramienta de cada proveedor y en la eficacia con la que presenta la información al analista que la utiliza, pero las necesidades y preferencias individuales desempeñan un papel tan importante a la hora de determinar qué herramienta de seguridad de endpoints es mejor para usted y su equipo como cualquier otro factor. Si has escuchado a los jugadores debatir sobre qué consola reina entre PlayStation y Xbox, entonces sabes a qué nos referimos (pista: la respuesta correcta es Nintendo).

¿Cómo se desempeñó Sophos en la ronda 5 de evaluaciones MITRE Engenuity ATT&CK?

Esta ronda de evaluaciones de ATT&CK se centró en emular el comportamiento del adversario asociado con el grupo de amenazas Turla, con sede en Rusia.

Al igual que en rondas anteriores, MITRE Engenuity ejecutó múltiples escenarios de ataque durante el transcurso de la evaluación.

Escenario de ataque 1: “Carbono”

El primer día de pruebas, titulado “Carbon”, consistió en una campaña de ataque multicapa dirigida a la infraestructura de Windows y Linux mediante la implementación de malware específico de Turla, incluido Epic, una puerta trasera comúnmente utilizada durante las etapas iniciales de los ataques de Turla, Carbon. , una puerta trasera y un marco de segunda etapa utilizados para robar información confidencial de las víctimas, y Penquin, un troyano de acceso remoto (RAT).

Escenario de ataque 2: “Serpiente”

El escenario del segundo día, titulado “Snake”, emuló un ataque a una organización hipotética centrada en la explotación del kernel y de Microsoft Exchange que una vez más aprovechó Epic, así como Snake, una herramienta utilizada para la recopilación de inteligencia a largo plazo sobre objetivos sensibles y considerada una de las las herramientas de ciberespionaje más sofisticadas que se utilizan actualmente, y LightNeuron, una sofisticada puerta trasera utilizada para atacar servidores Microsoft Exchange.

Resultados de la evaluación de Sophos

Con el escenario de ataque “Carbón” que consta de 76 subpasos y el “Serpiente” que consta de 67, el equipo de ATT&CK Evals ejecutó un total de 143 subpasos de ataque durante la evaluación.

Resultados de Sophos Intercept X:

  • Cobertura de detección total del 99 % (141 de 143 subpasos de ataque)
  • 98% de cobertura analítica total (140 de 143 subpasos de ataque)
  • 99% de cobertura analítica para “carbono” (75 de 76 subpasos)
  • Cobertura analítica del 97 % para “Serpiente” (65 de 67 subpasos)

 

Puede ver una vista completa de nuestros resultados en la página de resultados de MITRE Engenuity para Sophos.

¿Cómo se compararon los resultados de Sophos con los de otros participantes?

Reiteramos una vez más que no existe una forma única de interpretar los resultados de las evaluaciones MITRE Engenuity ATT&CK. Y, en los próximos días y semanas, verá innumerables cuadros, gráficos y otras visualizaciones creadas por proveedores, cada una de las cuales enmarca los resultados de diferentes maneras (algunas de manera más creíble que otras).

Dicho esto, una de las formas más comunes de ver los resultados de la evaluación ATT&CK a nivel macro es comparando Visibilidad (el número total de subpasos que generaron una detección) y Cobertura Analítica (el número total de detecciones que proporcionaron ricos detalles sobre los comportamientos del adversario). ):

Explicación de las categorías de detección de MITRE ATT&CK

Este año, el equipo de ATT&CK Evals revisó por completo la forma en que se muestran los resultados de los participantes en el portal de evaluación, lo que hace que sea más fácil que nunca ver las categorías de detección para cada paso y subpaso del escenario de ataque.

La calidad de la detección es fundamental para brindar a los analistas detalles sobre el comportamiento del adversario, de modo que las investigaciones y las acciones de respuesta se puedan ejecutar de manera rápida y eficiente.

Las categorías de detección incluyen:

  • No aplicable: no hubo visibilidad (normalmente se utiliza en situaciones en las que el participante optó por no participar o no pudo completar esa parte de la evaluación)
  • Ninguno: no se detectó nada; una “señorita”
  • Telemetría: algo sucedió pero no estoy seguro de qué; no se proporciona contexto
  • General: se detectó un evento anormal pero no hay contexto sobre por qué o cómo; el qué”
  • Táctica: la detección incluye información sobre la posible intención del atacante; el porque”
  • Técnica: la detección incluye información sobre el método del atacante para lograr un objetivo; el como”

Las detecciones clasificadas como generales, tácticas o técnicas se agrupan bajo la definición de “cobertura analítica”, que es una medida de la capacidad de la herramienta EDR para convertir la telemetría en detecciones de amenazas procesables.

Cómo utilizar los resultados de la evaluación de MITRE Engenuity ATT&CK

Las evaluaciones de ATT&CK se encuentran entre las pruebas de seguridad independientes más respetadas del mundo debido en gran parte a la cuidadosa construcción de escenarios de ataques del mundo real, la transparencia de los resultados y la riqueza de la información de los participantes. Al considerar una solución EDR o de detección y respuesta extendida (XDR), los resultados de la evaluación ATT&CK sin duda deben ingresarse junto con otros puntos de prueba de terceros, incluidas reseñas verificadas de clientes y evaluaciones de analistas.

Las evaluaciones de ATT&CK se encuentran entre las pruebas de seguridad independientes más respetadas del mundo debido en gran parte a la cuidadosa construcción de escenarios de ataques del mundo real, la transparencia de los resultados y la riqueza de la información de los participantes. Al considerar una solución EDR o de detección y respuesta extendida (XDR), los resultados de la evaluación ATT&CK sin duda deben ingresarse junto con otros puntos de prueba de terceros, incluidas reseñas verificadas de clientes y evaluaciones de analistas.

A medida que analiza los datos disponibles en el portal de evaluación de MITRE Engenuity, mire más allá de los números y considere lo siguiente en lo que respecta a usted, su equipo y su organización. Y tenga en cuenta que hay algunas preguntas que la Evaluación ATT&CK no puede ayudarle a responder.

  • ¿La herramienta le ayuda a identificar amenazas?
  • ¿Le presenta la información de la forma que desea?
  • ¿Quién utilizará la herramienta? ¿Analistas de nivel 3? ¿Especialistas en TI o administradores de sistemas?
  • ¿Cómo le permite la herramienta realizar búsquedas de amenazas?
  • ¿Están correlacionados eventos dispares? ¿Esto se hace automáticamente o debes hacerlo tú mismo?
  • ¿Puede la herramienta EDR/XDR integrarse con otra tecnología en su entorno (por ejemplo, firewall, correo electrónico, nube, identidad, red, etc.)?
  • ¿Está pensando en utilizar la herramienta usted mismo o contará con el apoyo de un socio de Detección y respuesta gestionadas (MDR)?

Por qué participamos

Como nota final, queríamos decir lo orgullosos que estamos de participar en esta Evaluación MITRE Engenuity ATT&CK junto con algunos de los mejores proveedores de seguridad de la industria. Sí, competimos entre nosotros en el aspecto comercial de nuestro negocio, pero somos, lo más importante, una comunidad unida contra un enemigo común. Participamos en estas evaluaciones porque nos hacen mejores, individualmente y como colectivo. Y eso es una victoria para toda la industria y las organizaciones que defendemos.

 

Acerca del autor

Read Similar Articles

Leave a Reply

Your email address will not be published. Required fields are marked *