Attenzione! Sophos ha ottenuto ancora una volta risultati eccellenti nelle ultime MITRE ATT&CK Evaluations for Enterprise 2024. In questa tornata, Sophos XDR ha ottenuto:
- il massimo punteggio possibile (“Tecnique”) per il 100% delle attività avversarie negli scenari di attacco ransomware Windows e Linux;
- Il massimo punteggio possibile (“Tecnique”) per 78 delle 80 attività avversarie totali in tutti e tre gli scenari completi.
- Valutazioni di “copertura analitica” (“Analytic Coverage”) per 79 delle 80 attività avversarie totali.
Sono stati pubblicati gli attesi risultati del sesto ciclo di valutazioni MITRE ATT&CK® per le aziende, che hanno esaminato la capacità di diciannove soluzioni di rilevamento e risposta degli endpoint (EDR/XDR) di identificare e segnalare con precisione le attività dannose di gruppi di minacce sofisticate.
Per una panoramica della valutazione, guardate questo breve video:
Cosa sono le valutazioni MITRE ATT&CK®?
Le valutazioni MITRE ATT&CK® sono tra i test di sicurezza indipendenti più autorevoli al mondo. Emulano le tattiche, le tecniche e le procedure (TTP) utilizzate da gruppi di avversari reali e valutano la capacità di ciascun fornitore partecipante di rilevare, analizzare e descrivere le minacce, con risultati allineati al linguaggio e alla struttura del MITRE ATT&CK® Framework.
Non esiste un modo univoco di interpretare i risultati delle valutazioni ATT&CK e non sono da intendersi come analisi della concorrenza. I risultati mostrano ciò che la valutazione ha osservato e non determinano un “vincitore” o un “leader”, nonostante alcuni fornitori vorrebbero farvi credere il contrario!
Le modalità di funzionamento e di presentazione delle informazioni all’analista sono diverse da un fornitore all’altro e le vostre esigenze e preferenze individuali giocano un ruolo fondamentale nella scelta della soluzione migliore per voi e per il vostro team. Informazioni su Sophos Extended Detection and Response (XDR)
Panoramica della valutazione
Si è trattato del sesto ciclo di ATT&CK Evaluations for Enterprise, la valutazione del MITRE incentrata sui prodotti e progettata per aiutare le organizzazioni a comprendere meglio come le offerte di rilevamento e risposta degli endpoint (EDR), come Sophos XDR, possano aiutarle a difendersi da attacchi sofisticati e in più fasi.
Questo ciclo si è concentrato sui comportamenti associati a tre gruppi di minacce noti:
- Repubblica Popolare Democratica di Corea (DPRK)
La valutazione ha emulato i comportamenti degli avversari della DPRK che prendono di mira macOS attraverso operazioni in più fasi, tra cui l’elevazione dei privilegi e il furto di credenziali.
- CL0P e LockBit Ransomware
La ricerca ha emulato i comportamenti prevalenti nelle campagne che utilizzano i ransomware CL0P e LockBit per le piattaforme Windows e Linux, tra cui l’abuso di strumenti legittimi e la disabilitazione di servizi essenziali.
Partecipanti alla valutazione
A questa fase di valutazione hanno partecipato diciannove fornitori di soluzioni EDR/XDR (in ordine alfabetico):
Comprensione dei risultati:
Ogni attività avversaria (chiamata “sottofase”) emulata durante la valutazione ha ricevuto una delle seguenti valutazioni che indicano la capacità della soluzione di rilevare, analizzare e descrivere l’attività avversaria, con un output allineato al linguaggio e alla struttura del MITRE ATT&CK® Framework.
Non applicabile – una “mancanza”: l’attività avversaria non è stata rilevata o la valutazione della sottofase non è stata completata.
- Nessuna: l’esecuzione della sottofase ha avuto successo, ma le prove fornite non soddisfano i criteri di rilevamento documentati o non sono state fornite prove dell’attività della Squadra Rossa.
- Generale: la soluzione ha identificato autonomamente eventi dannosi/sospetti e ha segnalato cosa, dove, quando e chi.
- Tattica: oltre a soddisfare i criteri per una valutazione “generale”, la soluzione ha anche fornito informazioni sul potenziale intento dell’attaccante, allineate alle tattiche MITRE ATT&CK.
- Tecnique: la valutazione più alta possibile – Oltre a soddisfare i criteri per la classificazione “Tattica”, la soluzione ha fornito dettagli sul metodo dell’aggressore per raggiungere un obiettivo e come è stata eseguita l’azione.
I rilevamenti classificati come Generali, Tattici o Tecnici sono raggruppati sotto la definizione di Copertura analitica (“Analytic Coverage”), che misura la capacità della soluzione di convertire la telemetria in rilevamenti di minacce perseguibili.
Come si è comportato Sophos in questa valutazione?
Nel corso della valutazione, il MITRE ha eseguito tre scenari di attacco discreti (DPRK, CL0P e LockBit), per un totale di 16 fasi e 80 sottofasi.
Sophos XDR ha ottenuto risultati straordinari:
- Ha ottenuto il massimo punteggio possibile (“Tecnique”) per il 100% delle attività dell’avversario negli scenari di attacco ransomware Windows e Linux.
- Ha ottenuto il massimo punteggio possibile (“Tecnique”) per 78 delle 80 attività avversarie totali in tutti e tre gli scenari completi.
- Valutazioni di “copertura analitica” (“Analytic Coverage”) per 79 delle 80 attività complessive dell’avversario.
Leggi i dettagli.