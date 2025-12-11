Le MITRE ATT&CK® Evaluations sono tra i test di sicurezza indipendenti più rigorosi al mondo. Emulano tattiche, tecniche e procedure (TTP) utilizzate da avversari reali per valutare la capacità di ogni vendor partecipante di rilevare, analizzare e descrivere le minacce in linea con il MITRE ATT&CK® Framework. Queste valutazioni rafforzano continuamente le nostre capacità, a beneficio delle organizzazioni che proteggiamo.

I risultati sono arrivati — rullo di tamburi!

MITRE ha pubblicato i risultati della più recente ATT&CK® Evaluation per soluzioni di sicurezza enterprise, valutando come i prodotti EDR e XDR partecipanti, incluso Sophos XDR, rilevano e riportano le tattiche complesse di gruppi di minacce avanzati.

Siamo entusiasti di condividere che abbiamo raggiunto i nostri migliori risultati di sempre in questo round di valutazioni. Le prestazioni costantemente forti di Sophos in queste valutazioni — anno dopo anno — continuano a dimostrare la potenza e la precisione delle nostre capacità di rilevamento e risposta alle minacce.

Nella Enterprise 2025 Evaluation, Sophos XDR:

Ha rilevato con successo tutti i 16 passaggi dell’attacco e i 90 sotto-passaggi , dimostrando la potenza della nostra piattaforma aperta e nativa AI nel difendersi dalle minacce informatiche sofisticate.

, dimostrando la potenza della nostra piattaforma aperta e nativa AI nel difendersi dalle minacce informatiche sofisticate. Rilevamento al 100% ¹: Sophos ha rilevato e fornito segnalazioni di minacce con azioni consigliate per tutte le attività avversarie — zero mancate rilevazioni.

¹: Sophos ha rilevato e fornito segnalazioni di minacce con azioni consigliate per tutte le attività avversarie — zero mancate rilevazioni. Punteggi massimi possibili: Sophos ha generato rilevamenti completi a livello di Technique per 86 delle 90 attività avversarie valutate.

Guarda questo breve video per una panoramica della valutazione, poi continua a leggere per un’analisi più approfondita dei risultati:

Panoramica della valutazione

Questo è stato il settimo round della ATT&CK Evaluation “Enterprise” — la valutazione focalizzata sui prodotti di MITRE — progettata per aiutare le organizzazioni a capire meglio come soluzioni di security operations come Sophos EDR e Sophos XDR possano aiutarle a difendersi da attacchi sofisticati e multi-fase.

La valutazione si è concentrata su comportamenti ispirati ai seguenti gruppi di minaccia:

Scattered Spider: collettivo cybercriminale a scopo finanziario – Il team MITRE ha emulato l’uso, da parte di questo gruppo, dell’ingegneria sociale per rubare credenziali, distribuire strumenti di accesso remoto e aggirare l’autenticazione multifattore — prendendo di mira risorse cloud per ottenere un punto d’appoggio e accedere a sistemi e dati sensibili. Lo scenario includeva dispositivi Windows e Linux e, per la prima volta, infrastruttura cloud AWS .

Il team MITRE ha emulato l’uso, da parte di questo gruppo, dell’ingegneria sociale per rubare credenziali, distribuire strumenti di accesso remoto e aggirare l’autenticazione multifattore — prendendo di mira risorse cloud per ottenere un punto d’appoggio e accedere a sistemi e dati sensibili. Lo scenario includeva dispositivi Windows e Linux . Mustang Panda: gruppo di spionaggio della Repubblica Popolare Cinese (PRC) – Gruppo di cyber spionaggio sponsorizzato dallo stato cinese, noto per utilizzare ingegneria sociale e strumenti legittimi per distribuire malware personalizzato. Il team MITRE ha emulato tattiche e strumenti riflettendo comportamenti comunemente osservati nel più ampio ecosistema delle operazioni cyber della PRC.

Risultati più in dettaglio

In questa valutazione, MITRE ha eseguito due scenari di attacco distinti — uno per Scattered Spider e uno per Mustang Panda — comprendenti un totale di 16 passaggi e 90 sotto-passaggi. Sophos ha ottenuto risultati impressionanti in entrambi gli scenari.

Scenario di attacco 1: Scattered Spider

Sintesi: Un’intrusione ibrida complessa che coinvolge ingegneria sociale, sfruttamento del cloud, abuso di identità e tecniche “living-off-the-land”. L’avversario usa spear phishing per rubare credenziali e ottenere accesso remoto, poi esegue attività di discovery, accede all’ambiente AWS della vittima, elude le difese ed esfiltra dati nel proprio bucket S3 utilizzando strumenti AWS nativi. Questo scenario comprendeva 7 passaggi e 62 sotto-passaggi tra Windows, Linux e AWS.

100% dei sotto-passaggi rilevati¹. Zero mancate rilevazioni.

Rilevamenti attuabili generati per ogni sotto-passaggio.

Punteggio più alto possibile (Technique) ottenuto per 61 su 62 sotto-passaggi.

Scenario di attacco 2: Mustang Panda

Sintesi: Un’intrusione elusiva che mostra l’uso da parte dell’avversario di ingegneria sociale, strumenti legittimi, persistenza e malware personalizzato per evitare il rilevamento. Inizia con un’email di phishing che contiene un DOCX malevolo che fornisce accesso a una workstation Windows e si connette a un server C2. L’attaccante individua sistemi chiave, esfiltra dati e rimuove i propri strumenti per coprire le tracce. Questo scenario comprendeva 9 passaggi e 28 sotto-passaggi su dispositivi Windows.

100% dei sotto-passaggi rilevati¹. Zero mancate rilevazioni.

Rilevamenti attuabili generati per ogni sotto-passaggio.

Punteggio più alto possibile (Technique) ottenuto per 25 su 28 sotto-passaggi.

Scopri di più su sophos.com/mitre ed esplora i risultati completi sul sito MITRE.

Cosa significano i punteggi?

Ogni attività dell’avversario (o “sotto-passaggio”) emulata durante la valutazione viene classificata da MITRE con uno dei seguenti rating, che riflettono la capacità della soluzione di rilevare, analizzare e descrivere il comportamento usando il linguaggio del Framework MITRE ATT&CK®:

Technique (Rilevamento di massima precisione)

La soluzione ha generato un alert che identifica l’attività dell’avversario a livello di Technique o Sub-Technique ATT&CK. Le prove includono dettagli su esecuzione, impatto e comportamento dell’avversario, fornendo chi, cosa, quando, dove, come e perché. Sophos ha ottenuto questo rating (il più alto possibile) per 86 su 90 sotto-passaggi ..

La soluzione ha generato un alert che identifica l’attività dell’avversario a livello di Technique o Sub-Technique ATT&CK. Le prove includono dettagli su esecuzione, impatto e comportamento dell’avversario, fornendo Tactic (Rilevamento parziale con contesto)

La soluzione ha generato un avviso che identifica l’attività dell’avversario come potenzialmente sospetta o dannosa. Le prove includono dettagli sull’esecuzione, l’impatto e il comportamento dell’avversario, fornendo informazioni chiare su chi, cosa, quando e dove . Sophos ha ricevuto questo rating per 1 sotto-passaggio.

La soluzione ha generato un avviso che identifica l’attività dell’avversario come potenzialmente sospetta o dannosa. Le prove includono dettagli sull’esecuzione, l’impatto e il comportamento dell’avversario, fornendo informazioni chiare su . General

La soluzione ha generato un avviso che identifica l’attività dell’avversario come potenzialmente sospetta o dannosa. Le prove includono dettagli sull’esecuzione, l’impatto e il comportamento dell’avversario, fornendo informazioni chiare su chi, cosa, quando e dove . Sophos ha ricevuto questo rating per 3 sotto-passaggi .

La soluzione ha generato un avviso che identifica l’attività dell’avversario come potenzialmente sospetta o dannosa. Le prove includono dettagli sull’esecuzione, l’impatto e il comportamento dell’avversario, fornendo informazioni chiare su . None (Nessun rilevamento)

L’attività dell’avversario è stata eseguita con successo, ma la soluzione non ha generato alert. Sophos did not receive this rating for any sub-steps. Zero misses.

L’attività dell’avversario è stata eseguita con successo, ma la soluzione non ha generato alert. Not Assessed (N/A)

La valutazione non è stata eseguita per limitazioni tecniche o ambientali

La valutazione non è stata eseguita per limitazioni tecniche o ambientali.

Le rilevazioni classificate come General, Tactic o Technique rientrano nella definizione di analytic coverage, che misura la capacità della soluzione di convertire la telemetria in rilevamenti di minacce attuabili.

Interpretare i risultati

Non esiste un’unica modalità per interpretare i risultati delle ATT&CK® Evaluations e MITRE non classifica né valuta i partecipanti. Le valutazioni presentano semplicemente ciò che è stato osservato — non ci sono “vincitori” o “leader”.

L’approccio, il design degli strumenti e la presentazione dei dati variano da vendor a vendor, e le esigenze specifiche della tua organizzazione determinano la soluzione più adatta.

La qualità del rilevamento è fondamentale per dare agli analisti le informazioni necessarie a investigare e rispondere rapidamente. Uno dei modi più utili per interpretare i risultati delle ATT&CK® Evaluations è confrontare il numero di sotto-passaggi che hanno prodotto rilevamenti ricchi e dettagliati del comportamento dell’avversario (analytic coverage), con quelli che hanno ottenuto la copertura a massima precisione (Technique).

Ancora una volta, Sophos ha ottenuto prestazioni eccezionali in questa valutazione.

Sophos continua a dimostrare, attraverso queste rigorose valutazioni, la potenza e la precisione delle nostre capacità di rilevamento e risposta — e il nostro impegno a fermare le minacce informatiche più sofisticate al mondo.

Quando si considera una soluzione EDR o XDR, è importante rivedere i risultati delle MITRE ATT&CK Evaluations insieme ad altri punti di riferimento indipendenti, inclusi recensioni verificate dei clienti e valutazioni degli analisti.

Riconoscimenti recenti per Sophos EDR e Sophos XDR includono:

Inizia subito a utilizzare Sophos XDR

I risultati costanti e robusti di Sophos nelle MITRE ATT&CK Evaluations aiutano a convalidare la nostra posizione come provider leader di funzionalità EDR e XDR per oltre 45.000 organizzazioni in tutto il mondo.

Per vedere come Sophos può semplificare le tue operazioni di sicurezza e migliorare i risultati per la tua organizzazione, visita il nostro sito web, prova gratuitamente Sophos XDR o parla con un esperto.

Per saperne di più sui risultati di questa valutazione, visita sophos.com/mitre.

¹ Nella “Configuration Change” run della Enterprise 2025 Evaluation.