El 20 de septiembre se publicaron los resultados de las evaluaciones ATT&CK de MITRE Engenuity de 2023 para soluciones de seguridad empresarial. Este año, Bitdefender detectó el 100 % de los pasos del ataque y ,al mismo tiempo, proporcionó el nivel más alto posible de descripción del comportamiento del adversario simulado para cada paso.
Este es el tercer año consecutivo que participa en las evaluaciones MITRE Engenuity ATT&CK en el que Bitdefender logra este resultado. Este año, 31 proveedores participaron en la evaluación, que evaluó la capacidad del producto para detectar y proteger contra tácticas y técnicas adversas emuladas. La quinta ronda de las evaluaciones de MITRE ATT&CK se centró en determinar las capacidades de los productos de seguridad contra el comportamiento del adversario inspirado en Turla, un sofisticado grupo de amenazas con sede en Rusia que ha infectado a víctimas en más de 45 países.
Por qué son importantes las evaluaciones de MITRE Engenuity ATT&CK
Las evaluaciones de ATT&CK han ganado popularidad como una fuente importante de información objetiva sobre las capacidades de los productos de seguridad y complementan otras pruebas independientes confiables de organizaciones como AV- Comparatives y AV-TEST .
De manera única entre organizaciones similares, MITRE Engenuity aprovecha su experiencia y su base de conocimientos de ATT&CK para crear una emulación de ataque compleja y rigurosa inspirada en tácticas y técnicas utilizadas por grupos de amenazas. Para la prueba de detección, se desactiva la capacidad de un producto para bloquear actividad maliciosa, lo que permite que el equipo de MITRE se concentre en determinar las capacidades de detección, incluido el nivel de detalles o contexto proporcionado por las herramientas de seguridad. A diferencia de otras pruebas de seguridad independientes, los resultados de las evaluaciones de ATT&CK no declaran un «ganador» ni clasifican a los proveedores. Esto se debe a que, como se indica en el sitio web de MITRE, «no existe una forma única de analizar, clasificar o calificar las soluciones», sino que estas evaluaciones reflejan el enfoque único de cada proveedor para la detección de amenazas.
Descifrando los resultados de MITRE ATT&CK
Si bien existe una gran cantidad de información que puede parecer confusa a primera vista, las evaluaciones de ATT&CK son una rica fuente de conocimientos objetivos que todos deberían aprovechar. La interpretación más importante de los resultados es desde la perspectiva de las necesidades de su organización. Si bien Bitdefender detectó el 100% de los pasos del ataque, puede haber subpasos (y hay muchos) que una organización valora más que los pasos agregados.
Por ejemplo, MITRE ofrece orientación útil sobre cómo aprovechar los resultados para evaluar productos. Citaremos algunas de estas recomendaciones junto con nuestro propio análisis de los resultados de Turla de este año.
Este año, el equipo de MITRE evaluó la capacidad de detección de cada producto de seguridad empresarial en 19 pasos principales y 143 subpasos que emulaban las tácticas y técnicas observadas del notorio grupo Turla.
Para proporcionar una clasificación de los diferentes tipos de detecciones, MITRE ATT&CK utilizó categorías de detección, cada una de las cuales se basó en la anterior e incluyó más contexto:
– N / A
– Ninguno
– Telemetría (datos mínimamente procesados que muestran los eventos ocurridos)
– General (datos procesados que especifican que ocurrió un evento malicioso/anormal)
– Táctica (identifica correctamente el objetivo que el adversario intentaba alcanzar)
– Técnica (también identifica la forma en que se realizó la acción)
Para cada subpaso de la emulación, se registra el nivel más alto de detección por producto.
Para explorar los resultados en el sitio web de MITRE, puede comparar las detecciones de los proveedores en técnicas individuales o subpasos o consultar recuentos de alto nivel para la cobertura analítica (incluye detecciones generales, tácticas o técnicas), la cobertura de telemetría y la visibilidad (telemetría o cobertura analítica).
La elección de las métricas adecuadas que mejor se alineen con sus necesidades está influenciada por factores como la experiencia de su equipo, el tiempo y los recursos disponibles y el nivel aceptable de ruido.
El número de subpasos en las Evaluaciones MITRE de 2023 ha aumentado de 109 a 143 y algunas técnicas son más impactantes o relevantes para revelar un ataque potencial que otras. Esto demuestra las limitaciones de contar las detecciones de forma indiscriminada. Según MITRE , «se podría suponer que un recuento analítico más alto es mejor, pero un número alto podría indicar la posibilidad de inundar a su analista con falsos positivos o alertas potencialmente redundantes».
Desde nuestra perspectiva, una métrica principal relevante para la mayoría de las organizaciones son las detecciones de los principales pasos de ataque con contexto a nivel de técnica. La detecciones de técnicas relevantes en todos estos pasos permite a los equipos detener un ataque. El siguiente y más profundo nivel de análisis de los resultados de este año analiza las capacidades del producto cuando se trata de detectar técnicas o subpasos específicos que son importantes y relevantes para su equipo.
Resultados de Bitdefender: información clara con mínimo ruido y complejidad
Bitdefender GravityZone logró una detección del 100 % de los 19 pasos del ataque en la quinta ronda de las evaluaciones MITRE Engenuity ATT&CK para seguridad empresarial, ofreciendo detalles técnicos sobre cada uno de los pasos que permitirían a los equipos SOC descubrir y detener el ataque. Este es el tercer año consecutivo que Bitdefender puede detectar y proporcionar información útil sobre cada uno de los pasos del ataque en las Evaluaciones ATT&CK.
El enfoque de Bitdefender para la detección y respuesta de endpoints (EDR) y la detección y respuesta extendidas (XDR) se centra en permitir a los analistas, independientemente del tamaño de su equipo y el nivel de experiencia, identificar y responder a los ataques con rapidez y precisión. El primer paso para lograrlo es reducir la fatiga de las alertas presentando detecciones de alta fidelidad e incidentes clasificados y correlacionados automáticamente que minimicen el ruido y reduzcan la posibilidad de que amenazas reales se pierdan en un océano de alertas irrelevantes. El contexto procesable presentado de una manera legible por humanos y las recomendaciones de respuesta simples ayudan aún más a los equipos con pocos recursos a responder rápidamente, mientras que capacidades como Live Search respaldan la búsqueda avanzada de amenazas.
Conclusiones y Recomendaciones
Mientras muchas organizaciones luchan contra la fatiga de alertas, la falta de habilidades, la falta de visibilidad o los flujos de trabajo de SecOps ineficientes, las evaluaciones MITRE ATT&CK siguen siendo una fuente clave de información objetiva y transparente sobre las capacidades de las diferentes herramientas de detección y respuesta.
MITRE evita establecer rankings ya que no reflejan los desafíos y necesidades únicos de cada organización. En cambio, cada organización necesita explorar los matices de los resultados de las evaluaciones ATT&CK para comprender cómo es probable que se comporten los diferentes enfoques en un entorno real. Explorar estos resultados puede ser un paso útil para decidir qué soluciones son candidatas para resolver los problemas que encuentra su equipo.
Si bien comprendemos los resultados de MITRE ATT&CK este año, es importante alejarnos y buscar proveedores que tengan un buen desempeño constante en las evaluaciones de ATT&CK, año tras año, y buscar otras evaluaciones independientes confiables que complementen a MITRE, como AV-Comparatives y AV. -PRUEBA. Estas evaluaciones resaltan aspectos importantes que no están cubiertos en MITRE, como: prevención temprana o eficacia de protección, tasas de falsos positivos, impacto en el rendimiento, usabilidad y retorno de la inversión (ROI).