Grondige en onafhankelijke evaluaties zijn onontbeerlijk voor cybersecurity professionals en hun teams bij het kritisch beoordelen van de capaciteiten van leveranciers om complexe dreigingen tegen hun organisaties af te weren. De jaarlijkse MITRE Engenuity ATT&CK Evaluaties voor Enterprise-omgevingen staan hoog aangeschreven als een van de meest betrouwbare beoordelingen binnen deze context. ATT&CKÂ staat voor Adversarial Tactics, Techniques and Common Knowledge.
De MITRE Corporation, een not-for-profit organisatie die zich richt op onderzoek en ontwikkeling op het gebied van cybersecurity, speelt een cruciale rol in het definiëren van de standaarden voor veiligheidstests. De evaluaties door MITRE Engenuity zijn bijzonder relevant omdat het een enorme uitdaging is om cybersecurity leveranciers te beoordelen louter op basis van hun eigen beweringen over prestaties.
De methodologie van MITRE, die zowel referentiecontroles van leveranciers als bewijs van waarde evaluaties (POV) — oftewel live testen— in de omgeving van de klant omvat, biedt een extra laag van objectieve gegevens om een alomvattende beoordeling van cybersecurity leveranciers mogelijk te maken.
MITRE Engenuity voert de ATT&CK Evaluatie uit door een endpoint security oplossingen te testen tegen gesimuleerde aanvalssequenties die de tactieken nabootsen van bekende geavanceerde persistente dreigingsgroepen (APT’s).
De recente Enterprise evaluatie in 2023 testte 29 oplossingen door het nabootsen van de aanvalsmethoden van Turla. Deze Russiche hackers groep kan in verband worden gebracht met de Russische federale veiligheidsdienst (FSB) is afgelopen jaren in 45 landen actief geweest. Turla gebruikt een command-and-control netwerk en open source tools, die moeilijker te beschermen en makkelijker te misbruiken zijn omdat iedereen de code kan bewerken – en misbruiken.
De Turla-aanvalssequentie werd uitgevoerd over 19 stappen, die werden opgesplitst in 143 sub-stappen. Zichtbaarheid is het aantal of de fractie van detecties uit die 143 mogelijke kansen.
Hoe interpreteer je de MITRE ATT&CK resultaten?
Een belangrijk aspect om te begrijpen is dat MITRE de resultaten van de leveranciers niet rangschikt of scores toekent. In plaats daarvan publiceert het de ruwe testgegevens samen met enkele basisvergelijkingstools online. Gebruikers van het rapport bekijken deze gegevens vervolgens om leveranciers te evalueren op basis van de specifieke behoeften en prioriteiten van hun eigen organisatie.
De belangrijkste meetgegevens om te overwegen bij het beoordelen van de resultaten van de deelnemende leveranciers zijn algehele zichtbaarheid en detectiekwaliteit. Er zijn veel andere manieren om naar de MITRE-resultaten te kijken, maar over het algemeen worden deze 2 kenmerken als het meest indicatief gezien voor het vermogen om bedreigingen nauwkeurig en effectief te detecteren.
Het vermogen om bedreigingen te detecteren is de fundamentele maatstaf voor een endpoint beschermingsoplossing. Het detecteren van aanvalsstappen in de MITRE ATT&CK-sequentie is cruciaal voor de bescherming van de organisatie. Het missen van enige stap kan de aanval laten uitbreiden en uiteindelijk leiden tot een inbreuk of andere schadelijke uitkomst.
NB: MITRE staat leveranciers toe om hun systemen te herconfigureren om te proberen bedreigingen die ze missen te detecteren of om de informatie die ze leveren voor detectie te verbeteren. Helaas hebben we in de echte wereld niet de luxe om detecties te missen en dan onze systemen te herconfigureren, dus de betekenisvollere maatstaf is detecties zonder de configuratiewijziging modifier. In het rapport staat of een detectie gebeurde nadat er configuratiewijzigingen doorgevoerd werden.
Analytische Detecties
Analytische detecties identificeren de tactiek (waarom een activiteit kan gebeuren) of de techniek (zowel waarom als hoe de techniek gebeurt) die geassocieerd is met de detectie. Deze details zijn niet alleen erg nuttig voor beveiligingsanalisten bij het onderzoeken van een waarschuwing, maar geven ook aan wat echte bedreigingen zijn versus false positives waarschuwingen.
Leveranciers hebben mogelijk niet voor elk van de 143 stappen die in de Turla-aanvalssequentie werden ingezet, analytische informatie (tactiek of techniek) verstrekt. Ook hier is het het beste om analytische informatie te meten voordat er configuratiewijzigingen werden doorgevoerd.
Zichtbaarheid en Detectiekwaliteit
Deze analyse illustreert hoe goed de oplossingen het deden bij het detecteren van bedreigingen en het bieden van de context die nodig is om de detecties actiegericht te maken. Gemiste detecties zijn een uitnodiging voor een breach, terwijl detecties van slechte kwaliteit onnodig vel extra werk voor beveiligingsanalisten creëren of potentieel veroorzaken dat de waarschuwing wordt genegeerd.
Deze grafiek toont waar elke leverancier scoorde op de twee, eerder genoemde, maatstaven.
Meer vragen dan antwoorden?
De vraag hoe de resultaten te interpreteren is relevant en uitdagend. De presentatievorm van de MITRE Engenuity ATT&CK Evaluaties: Enterprise wijkt af van de conventionele formats, wat voor sommigen aanpassing vereist. Ondanks dat onafhankelijke onderzoekers soms “winnaars” aanduiden om het proces te vereenvoudigen, blijft de keuze voor de “beste” leverancier subjectief en afhankelijk van de specifieke vereisten van elke organisatie.
SolidBE is partner van oa Fortinet, een van de marktleiders in het meest recente MITRE Engenuity ATT&CK® Evaluations rapport. We staan voor u klaar om uw vragen te beantwoorden en u te helpen met uw zoektocht naar de, voor u, meest ideale oplossing.
Meer informatie over het rapport via https://mitre-engenuity.org/cybersecurity/attack-evaluations/
