MITRE Engenuity™ ha publicado los resultados de la última ronda de Evaluaciones ATT&CK® para Servicios Gestionados, en las que se evalúan las capacidades de 11 proveedores para detectar, analizar y describir con precisión el comportamiento de los adversarios en el mundo real.
Esta ha sido la segunda ronda de Evaluaciones ATT&CK para Servicios Gestionados, lanzadas inicialmente en 2022, para ayudar a las organizaciones a comprender mejor cómo ofertas como Sophos MDR pueden ayudar a protegerlas contra ataques sofisticados de varias fases.
Mira este breve vídeo para obtener una visión general de la evaluación:
¿Cuál fue el alcance de las evaluaciones ATT&CK?
Las Evaluaciones ATT&CK de MITRE Engenuity están diseñadas para simular un ejemplo representativo de cómo las organizaciones deben esperar que un proveedor de servicios gestionados se comprometa con ellas durante un ataque sofisticado.
El equipo de MITRE Engenuity emula los comportamientos de actores de amenazas conocidos durante la evaluación. En esta ronda se utilizó un enfoque de “caja negra”, por el que MITRE no reveló el actor o actores de la amenaza simulada ni el alcance de la técnica hasta que se completó la evaluación.
Esta evaluación emuló tácticas y técnicas utilizadas por dos grupos de amenazas conocidos (menuPass y ALPHV/BlackCat) y analizó las capacidades de cada proveedor para detectar e informar de actividades específicas de los adversarios.
En total, la evaluación comprendía 172 actividades de los adversarios (subpasos) a lo largo de 15 pasos generales. Nótese, sin embargo, que solo 43 de los subpasos (los que MITRE Engenuity consideró críticos para el éxito de la secuencia de ataque) se incluyeron en los resultados.
La evaluación se centró por completo en la detección y la notificación. No se evaluó la capacidad de bloquear, responder o remediar las amenazas. Por tanto, es esencial tener en cuenta que los comportamientos de los adversarios emulados en esta evaluación pueden haber sido bloqueados por tecnologías de protección (por ejemplo, herramientas endpoint de nueva generación), que los proveedores tuvieron que desactivar durante la evaluación.
Participantes en la evaluación
Once proveedores de servicios de seguridad gestionada participaron en esta ronda de evaluación:
Bitdefender | BlackBerry | CrowdStrike | Field Effect |
Microsoft | Palo Alto Networks | SecurityHQ | Secureworks |
SentinelOne | Sophos | Trend Micro |
Resultados de Sophos
Los resultados de las evaluaciones ATT&CK de MITRE pueden interpretarse de múltiples maneras y MITRE Engenuity no clasifica ni declara a ningún proveedor “ganador” o “líder”. El servicio gestionado de cada proveedor informa de forma diferente y las necesidades y preferencias de cada organización son tan importantes como los propios resultados.
Sophos “Informó” con éxito y describió con precisión el 84% de las 43 actividades de los adversarios (subpasos) seleccionadas por MITRE Engenuity, por encima de la media de los proveedores participantes. La mayoría (75%) de las detecciones de Sophos también se clasificaron como “Actionable”. “Reported” significa que se identificó correctamente la actividad del adversario y se proporcionó contexto suficiente. Y, cuando la información comunicada también aborda con éxito las “5 W” (Quién, Qué, Cuándo, Dónde y Por qué), la actividad se categorizó además como “Actionable”.
Los resultados también incluyen el número de correos electrónicos de alerta enviados por cada proveedor.
Para garantizar una respuesta eficaz, comprensible y procesable, Sophos MDR se centra en proporcionar notificaciones de alto valor, redactadas por personas, que contienen la información crítica y el contexto que los clientes necesitan conocer.
Durante la evaluación MITRE ATT&CK de 5 días para servicios gestionados, Sophos MDR envió 24 correos electrónicos. La media entre los demás participantes fue de más de 120 correos electrónicos y algunos proveedores enviaron más de 300. La fatiga por alertas, causada por un número abrumador de notificaciones de las soluciones de seguridad, es un problema importante en ciberseguridad. Sophos entiende que el tiempo de tu organización es valioso y cuando los recursos son limitados, la calidad suele ser mejor que la cantidad.
Cómo utilizar los resultados de las Evaluaciones ATT&CK de MITRE Engenuity
Las Evaluaciones ATT&CK se encuentran entre las pruebas de seguridad independientes más respetadas del mundo, debido en gran parte a la cuidadosa construcción y emulación de escenarios de ataque del mundo real, la transparencia de los resultados y la riqueza de la información de los participantes.
Cuando consideres un servicio de Detección y Respuesta Gestionadas (MDR), asegúrate de revisar los resultados de las Evaluaciones ATT&CK de MITRE Engenuity junto con otros puntos de prueba de terceros acreditados, incluidas las reseñas verificadas de clientes y las evaluaciones de analistas.
Cuando revises los datos disponibles en el portal de evaluación de MITRE Engenuity, mira más allá de los números y considera lo siguiente, teniendo en cuenta que hay algunas preguntas sobre los servicios de seguridad gestionados que las Evaluaciones ATT&CK no pueden ayudarte a responder. Por ejemplo:
-
¿Te presenta el servicio la información de la forma que quieres, con comunicaciones de alto valor que contienen la información crítica que necesitas saber?
-
¿Asume el servicio que tienes un equipo interno de operaciones de seguridad o puede proporcionar un “SOC instantáneo” completo con capacidad para tomar medidas para eliminar amenazas en tu nombre?
-
¿Quién se ocupará del proveedor de servicios gestionados en el día a día? ¿Administradores informáticos, analistas de seguridad experimentados, o quizá ambos?
-
¿Puede el servicio integrarse con otras tecnologías de tu entorno para detectar y responder a amenazas de varias fases que van más allá de los endpoints (por ejemplo, firewall, correo electrónico, nube, identidad, red, copia de seguridad y recuperación, etc.)?
-
¿Incluye el servicio una respuesta remota completa ante incidentes y están los servicios IR incluidos limitados a un número fijo de horas o sin límite?
Por qué participamos
Sophos se compromete a participar en las evaluaciones ATT&CK de MITRE Engenuity junto a algunos de los mejores proveedores de seguridad del sector. Como comunidad, estamos unidos contra un enemigo común. Estas evaluaciones nos ayudan a mejorar, individual y colectivamente, en beneficio de las organizaciones que defendemos.
Nuestra participación en la última evaluación valida aún más la posición de Sophos como proveedor líder del sector de Detección y Respuesta Gestionadas (MDR) y partner de ciberseguridad de confianza de más de 22.000 clientes.
No te fíes de nuestra palabra
Sophos Managed Detection and Response es la solución MDR más popular del mundo. Protegemos a más organizaciones que cualquier otro proveedor de MDR y tenemos una amplia experiencia en todas las industrias y sectores. Algunas pruebas recientes de terceros son:
Para saber más sobre Sophos MDR y cómo puede ayudarte, visita nuestro sitio web o habla con un experto en seguridad hoy mismo.