Prodotti e Servizi PRODOTTI & SERVIZI

Sophos ottiene i suoi migliori risultati di sempre nella MITRE ATT&CK Enterprise 2025 Evaluation

Un traguardo importante: Sophos XDR offre una copertura di rilevamento del 100% nell’ultima ATT&CK Evaluation
Scritto da
Products & Services Security Operations ATT&CK featured MITRE Sophos EDR Sophos Endpoint Sophos XDR

Le MITRE ATT&CK® Evaluations sono tra i test di sicurezza indipendenti più rigorosi al mondo. Emulano tattiche, tecniche e procedure (TTP) utilizzate da avversari reali per valutare la capacità di ogni vendor partecipante di rilevare, analizzare e descrivere le minacce in linea con il MITRE ATT&CK® Framework. Queste valutazioni rafforzano continuamente le nostre capacità, a beneficio delle organizzazioni che proteggiamo.

I risultati sono arrivati — rullo di tamburi!

MITRE ha pubblicato i risultati della più recente ATT&CK® Evaluation per soluzioni di sicurezza enterprise, valutando come i prodotti EDR e XDR partecipanti, incluso Sophos XDR, rilevano e riportano le tattiche complesse di gruppi di minacce avanzati.

Siamo entusiasti di condividere che abbiamo raggiunto i nostri migliori risultati di sempre in questo round di valutazioni. Le prestazioni costantemente forti di Sophos in queste valutazioni — anno dopo anno — continuano a dimostrare la potenza e la precisione delle nostre capacità di rilevamento e risposta alle minacce.

Nella Enterprise 2025 Evaluation, Sophos XDR:

  • Ha rilevato con successo tutti i 16 passaggi dell’attacco e i 90 sotto-passaggi, dimostrando la potenza della nostra piattaforma aperta e nativa AI nel difendersi dalle minacce informatiche sofisticate.
  • Rilevamento al 100%¹: Sophos ha rilevato e fornito segnalazioni di minacce con azioni consigliate per tutte le attività avversarie — zero mancate rilevazioni.
  • Punteggi massimi possibili: Sophos ha generato rilevamenti completi a livello di Technique per 86 delle 90 attività avversarie valutate.

Guarda questo breve video per una panoramica della valutazione, poi continua a leggere per un’analisi più approfondita dei risultati:

Panoramica della valutazione

Questo è stato il settimo round della ATT&CK Evaluation “Enterprise” — la valutazione focalizzata sui prodotti di MITRE — progettata per aiutare le organizzazioni a capire meglio come soluzioni di security operations come Sophos EDR e Sophos XDR possano aiutarle a difendersi da attacchi sofisticati e multi-fase.

La valutazione si è concentrata su comportamenti ispirati ai seguenti gruppi di minaccia:

  • Scattered Spider: collettivo cybercriminale a scopo finanziario – Il team MITRE ha emulato l’uso, da parte di questo gruppo, dell’ingegneria sociale per rubare credenziali, distribuire strumenti di accesso remoto e aggirare l’autenticazione multifattore — prendendo di mira risorse cloud per ottenere un punto d’appoggio e accedere a sistemi e dati sensibili. Lo scenario includeva dispositivi Windows e Linux e, per la prima volta, infrastruttura cloud AWS.
  • Mustang Panda: gruppo di spionaggio della Repubblica Popolare Cinese (PRC) Gruppo di cyber spionaggio sponsorizzato dallo stato cinese, noto per utilizzare ingegneria sociale e strumenti legittimi per distribuire malware personalizzato. Il team MITRE ha emulato tattiche e strumenti riflettendo comportamenti comunemente osservati nel più ampio ecosistema delle operazioni cyber della PRC.

Risultati più in dettaglio

In questa valutazione, MITRE ha eseguito due scenari di attacco distinti — uno per Scattered Spider e uno per Mustang Panda — comprendenti un totale di 16 passaggi e 90 sotto-passaggi. Sophos ha ottenuto risultati impressionanti in entrambi gli scenari.

Scenario di attacco 1: Scattered Spider

Sintesi: Un’intrusione ibrida complessa che coinvolge ingegneria sociale, sfruttamento del cloud, abuso di identità e tecniche “living-off-the-land”. L’avversario usa spear phishing per rubare credenziali e ottenere accesso remoto, poi esegue attività di discovery, accede all’ambiente AWS della vittima, elude le difese ed esfiltra dati nel proprio bucket S3 utilizzando strumenti AWS nativi. Questo scenario comprendeva 7 passaggi e 62 sotto-passaggi tra Windows, Linux e AWS.

  • 100% dei sotto-passaggi rilevati¹. Zero mancate rilevazioni.
  • Rilevamenti attuabili generati per ogni sotto-passaggio.
  • Punteggio più alto possibile (Technique) ottenuto per 61 su 62 sotto-passaggi.

Scenario di attacco 2: Mustang Panda

Sintesi: Un’intrusione elusiva che mostra l’uso da parte dell’avversario di ingegneria sociale, strumenti legittimi, persistenza e malware personalizzato per evitare il rilevamento. Inizia con un’email di phishing che contiene un DOCX malevolo che fornisce accesso a una workstation Windows e si connette a un server C2. L’attaccante individua sistemi chiave, esfiltra dati e rimuove i propri strumenti per coprire le tracce. Questo scenario comprendeva 9 passaggi e 28 sotto-passaggi su dispositivi Windows.

  • 100% dei sotto-passaggi rilevati¹. Zero mancate rilevazioni.
  • Rilevamenti attuabili generati per ogni sotto-passaggio.
  • Punteggio più alto possibile (Technique) ottenuto per 25 su 28 sotto-passaggi.

Scopri di più su sophos.com/mitre ed esplora i risultati completi sul sito MITRE.

Cosa significano i punteggi?

Ogni attività dell’avversario (o “sotto-passaggio”) emulata durante la valutazione viene classificata da MITRE con uno dei seguenti rating, che riflettono la capacità della soluzione di rilevare, analizzare e descrivere il comportamento usando il linguaggio del Framework MITRE ATT&CK®:

  • Technique (Rilevamento di massima precisione)
    La soluzione ha generato un alert che identifica l’attività dell’avversario a livello di Technique o Sub-Technique ATT&CK. Le prove includono dettagli su esecuzione, impatto e comportamento dell’avversario, fornendo chi, cosa, quando, dove, come e perché. 

    • Sophos ha ottenuto questo rating (il più alto possibile) per 86 su 90 sotto-passaggi..
  • Tactic (Rilevamento parziale con contesto)
    La soluzione ha generato un avviso che identifica l’attività dell’avversario come potenzialmente sospetta o dannosa. Le prove includono dettagli sull’esecuzione, l’impatto e il comportamento dell’avversario, fornendo informazioni chiare su chi, cosa, quando e dove.

    • Sophos ha ricevuto questo rating per 1 sotto-passaggio.
  • General
    La soluzione ha generato un avviso che identifica l’attività dell’avversario come potenzialmente sospetta o dannosa. Le prove includono dettagli sull’esecuzione, l’impatto e il comportamento dell’avversario, fornendo informazioni chiare su chi, cosa, quando e dove.

    • Sophos ha ricevuto questo rating per 3 sotto-passaggi.
  • None (Nessun rilevamento)
    L’attività dell’avversario è stata eseguita con successo, ma la soluzione non ha generato alert.

    • Sophos did not receive this rating for any sub-steps. Zero misses.
  • Not Assessed (N/A)
    La valutazione non è stata eseguita per limitazioni tecniche o ambientali

La valutazione non è stata eseguita per limitazioni tecniche o ambientali.

Le rilevazioni classificate come General, Tactic o Technique rientrano nella definizione di analytic coverage, che misura la capacità della soluzione di convertire la telemetria in rilevamenti di minacce attuabili.

Interpretare i risultati

Non esiste un’unica modalità per interpretare i risultati delle ATT&CK® Evaluations e MITRE non classifica né valuta i partecipanti. Le valutazioni presentano semplicemente ciò che è stato osservato — non ci sono “vincitori” o “leader”.

L’approccio, il design degli strumenti e la presentazione dei dati variano da vendor a vendor, e le esigenze specifiche della tua organizzazione determinano la soluzione più adatta.

La qualità del rilevamento è fondamentale per dare agli analisti le informazioni necessarie a investigare e rispondere rapidamente. Uno dei modi più utili per interpretare i risultati delle ATT&CK® Evaluations è confrontare il numero di sotto-passaggi che hanno prodotto rilevamenti ricchi e dettagliati del comportamento dell’avversario (analytic coverage), con quelli che hanno ottenuto la copertura a massima precisione (Technique).

Ancora una volta, Sophos ha ottenuto prestazioni eccezionali in questa valutazione.

Sophos continua a dimostrare, attraverso queste rigorose valutazioni, la potenza e la precisione delle nostre capacità di rilevamento e risposta — e il nostro impegno a fermare le minacce informatiche più sofisticate al mondo.

Quando si considera una soluzione EDR o XDR, è importante rivedere i risultati delle MITRE ATT&CK Evaluations insieme ad altri punti di riferimento indipendenti, inclusi recensioni verificate dei clienti e valutazioni degli analisti.

Riconoscimenti recenti per Sophos EDR e Sophos XDR includono:

Inizia subito a utilizzare Sophos XDR

I risultati costanti e robusti di Sophos nelle MITRE ATT&CK Evaluations aiutano a convalidare la nostra posizione come provider leader di funzionalità EDR e XDR per oltre 45.000 organizzazioni in tutto il mondo.

Per vedere come Sophos può semplificare le tue operazioni di sicurezza e migliorare i risultati per la tua organizzazione, visita il nostro sito web, prova gratuitamente Sophos XDR o parla con un esperto.

Per saperne di più sui risultati di questa valutazione, visita sophos.com/mitre.

¹ Nella “Configuration Change” run della Enterprise 2025 Evaluation.

L’autore

Paul Murray is a Senior Product Marketing Director at Sophos with a focus on Endpoint Security and Security Operations. Paul has over twenty-five years’ experience across Product Management, Product Marketing and Product Design disciplines and, prior to joining Sophos in 2015, held product positions at Symantec, 1&1 Internet, Sky and BT.

Leggi articoli simili

Lascia un commento

Your email address will not be published. Required fields are marked *