White Grey Virtual reality Headset isolated on white background
Ricerche sulle CyberMinacce

Sophos e le valutazioni MITRE ATT&CK 2024

Sophos X-Ops analizza l'attendibilità delle valutazioni MITRE ATT&CK di quest'anno
Scritto da ,
11 Dicembre 2024
Threat Research featured MITRE MITRE ATT&CK Ransomware Sophos X-Ops

Ogni anno, numerosi fornitori di soluzioni di sicurezza, tra cui Sophos, si iscrivono al progetto MITRE’s ATT&CK Evaluations: Enterprise, un’iniziativa che simula attacchi informatici su larga scala e che copre uno o più scenari basati su aggressori reali e sulle loro tattiche, strumenti e procedure.

La valutazione è progettata per fornire una panoramica realistica (e trasparente: i risultati sono accessibili al pubblico) delle prestazioni delle soluzioni di sicurezza, basata su catene di attacchi end-to-end che comprendono l’accesso iniziale, la persistenza, il movimento laterale e l’impatto. Le emulazioni includono in genere un ambiente “cliente” multidispositivo completo di endpoint, server, dispositivi collegati al dominio e utenti gestiti da Active Directory.

Il 2024 segna il quarto anno di partecipazione di Sophos e, per festeggiare, abbiamo deciso di condividere alcune informazioni su ciò che la valutazione di quest’anno ha comportato e di mostrare quanto sia effettivamente aderente alla realtà. In particolare, ci concentreremo sul livello di attendibilità degli strumenti, sulle sfumature della metodologia di test e sulle capacità di protezione e rilevamento di Sophos. Pur non potendo trattare tutto (ogni scenario ha 20-40 passaggi!), ne discuteremo una selezione, evidenziando la profondità e l’accuratezza delle emulazioni.

Le categorie di minacce 2024

Per la valutazione del 2024, il MITRE ha selezionato due categorie di minacce: il ransomware e la Repubblica Popolare Democratica di Corea (DPRK). Il ransomware, come accade da tempo, è una delle maggiori minacce alla sicurezza informatica del settore e continua a evolversi (si pensi, ad esempio, all’aumento della crittografia remota). Anche la seconda è molto rilevante, vista la proliferazione di attacchi di spionaggio sponsorizzati dallo Stato associati alla regione.

Il MITRE ha costruito tre scenari attorno a queste due categorie: un attacco da parte di un aggressore affiliato alla RPDC focalizzato su MacOS (dopo che gli aggressori hanno preso di mira MacOS in diverse campagne, una tendenza che sembra destinata a continuare) e attacchi da parte di affiliati di due gruppi di ransomware (Cl0p e LockBit).

Leggi tutto l’articolo.

L’autore

A photo of Kyle Thompson
L’autore

Kyle Thompson is a Principal Threat Researcher at Sophos and has a passion for creating high-fidelity behavioral detections. Kyle continually seeks to improve the detection capability at Sophos by investigating, replicating, and detecting the techniques used by threat actors.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *