Como funcionam as avaliações do MITRE Engenuity ATT&CK

Como funcionam as avaliações do MITRE Engenuity ATT&CK que examinam como os principais produtos de segurança de endpoint protegem os sistemas de agentes de ameaças bem conhecidos.

As avaliações do MITRE Engenuity ATT&CK, ou Evals, são uma análise passo a passo de como os principais produtos de segurança de endpoint se saem contra adversários conhecidos. Ao contrário das avaliações tradicionais que podem dizer apenas se uma ameaça foi interrompida, os Evals mapeiam cada etapa de uma cadeia de eliminação , dando aos fornecedores de segurança, clientes de segurança e defensores terceirizados uma visão incomparável de como se defender contra ataques.

As avaliações do Engenuity examinam como os principais produtos de segurança de endpoint protegem os sistemas de agentes de ameaças bem conhecidos. Os resultados são baseados na estrutura MITRE ATT&CK e as organizações podem usá-los para ver como os produtos de segurança se encaixam em seus próprios sistemas – e até que ponto os agentes de ameaças podem penetrar nesses sistemas. Os fornecedores de segurança também podem usar os resultados para melhorar seus próprios produtos.

A estrutura MITRE ATT&CK

A base das avaliações do Engenuity é a estrutura MITRE ATT&CK, um método bem conhecido e amplamente utilizado para análise e planejamento contra ameaças e ataques cibernéticos.

Lançado ao público em 2015, o framework ATT&CK (for Adversarial Tactics, Techniques, and Common Knowledge) consiste em matrizes, ou listas de verificação bidimensionais, que contêm dados constantemente atualizados sobre táticas, técnicas e procedimentos do atacante (TTPs) e estão disponíveis gratuitamente no site MITRE ATT&CK

A estrutura ATT&CK é “em grande parte uma base de conhecimento de técnicas adversárias“, explica uma postagem no blog do MITRE . “O foco não está nas ferramentas e malware que os adversários usam, mas em como eles interagem com os sistemas durante uma operação. A ATT&CK organiza essas técnicas em um conjunto de táticas para ajudar a explicar e fornecer contexto para a técnica.

Neste momento, junho de 2022, o ATT&CK está na versão 11 e existem matrizes ATT&CK para ambientes corporativos, móveis e ICS. A matriz corporativa pode ser dividida em matrizes específicas para Windows, macOS, Linux, nuvem, redes e contêineres, e a nuvem pode ser subdividida em diferentes ambientes de nuvem. Cada matriz “pai” contém todas as táticas e técnicas de suas matrizes “filhas“.

Como as avaliações do Engenho usam a estrutura ATT&CK

As avaliações do MITRE Engenuity ATT&CK, que começaram em 2018, avaliam de forma transparente a eficácia dos produtos comerciais de proteção de endpoints contra ataques simulados por agentes de ameaças bem conhecidos . Em vez de simplesmente dizer se um determinado produto bloqueou ou neutralizou um ataque específico, as avaliações do Engenuity usam a estrutura ATT&CK para revelar como um produto de segurança se sai em cada etapa da cadeia de eliminação. 

Esses ataques são lançados contra instâncias de nuvem do Microsoft Azure e defendidos por produtos de segurança de endpoint da vida real. Cada cadeia de eliminação é dividida em vários segmentos com várias etapas cada. 

Independentemente de um ataque ser bloqueado durante um segmento, o próximo segmento assume que o ataque ao segmento anterior foi bem-sucedido e o ataque é retomado. Dessa forma, os produtos de segurança que bloqueiam ataques no início da cadeia de eliminação devem demonstrar como eles se defendem contra táticas e técnicas subsequentes.

Nos Evals de 2022, 30 produtos diferentes de segurança de endpoint foram testados, incluindo entradas da Cisco, CrowdStrike, McAfee, Microsoft, Palo Alto Networks e Symantec. Os produtos tinham que defender sistemas Windows (e, opcionalmente, Linux) contra ataques simulados do grupo cibercriminoso Wizard Spider (conhecido por implantar o malware Conti , Ryuk e TrickBot ) e o grupo patrocinado pelo estado Sandworm (mais conhecido por liberar o malware NotPetya em 2017).

Os resultados das avaliações são publicados online, mas o MITRE não atribui pontuações nem classifica os produtos testados. Não há “vencedores” ou “perdedores“. As avaliações do Engenuity destinam-se a mostrar como funciona uma solução de segurança de endpoint, e não o quão bem ela funciona.

“Cada avaliação de fornecedor é avaliada de forma independente em sua abordagem exclusiva para detecção de ameaças”, afirma o site da MITRE Engenuity ATT&CK. “As rodadas de avaliação não são uma análise competitiva; elas não exibem pontuações, classificações ou classificações e são transparentes e publicadas abertamente“.

Como os resultados do Engenuity ajudam fornecedores, clientes e outros

A estrutura ATT&CK é amplamente utilizada – um estudo recente descobriu que 81% das empresas nos EUA, Reino Unido e Austrália a utilizam. Os resultados do Evals oferecem uma visão muito detalhada de como um determinado produto de segurança se sai contra agentes de ameaças específicos.

As equipes de segurança que estão familiarizadas com os perfis ATT&CK de suas próprias organizações podem ver se um produto de endpoint preenche as lacunas em suas próprias posturas de segurança. “Ao ver a estrutura MITRE ATT&CK como um ‘jogo de tabuleiro’ ou uma lista de verificação, as equipes de segurança podem entender completamente onde estão suas vulnerabilidades e tomar as medidas apropriadas para evitar ataques“, disse o Dr. Joel Fulton, cofundador e CEO da Lucidum, um empresa de descoberta de ativos.

Mesmo as organizações que não estão pensando em comprar um produto de segurança podem usar os resultados do Evals para identificar possíveis pontos fracos em suas defesas.

Compreender as maneiras pelas quais um invasor em potencial tirará proveito de uma organização é fundamental para repelir esses mesmos invasores e, se não repelir, identificar mais rapidamente quando eles foram bem-sucedidos”, disse Dave Cundiff, CISO da Cyvatar.

Enquanto isso, os fornecedores de segurança podem usar os resultados do Engenuity Evals para ver exatamente onde seus produtos falharam e trabalhar rapidamente para melhorar o desempenho. 

Por exemplo, a Cisco descobriu que seu Endpoint Security Advantage não impediu o Sandworm de instalar malware de comando e controle e ganhar persistência em um servidor Linux. Shyue Hong Chuang, gerente de produto do Cisco Secure Endpoint, disse que sua equipe sabe o que fazer como resultado.

Vamos aumentar nossa capacidade de mitigar abusos diferenciados, introduzindo uma proteção comportamental mais avançada na plataforma Linux“, disse Chuang. “Acreditamos que quando introduzirmos a proteção comportamental na plataforma Linux, poderemos ver esses eventos disparando e entrando em ação para matar esse processo.”

Talvez mais importante, a onipresença da plataforma ATT&CK ajudará os CISOs e outros funcionários de segurança a explicar a colegas não técnicos, incluindo executivos, quais produtos de segurança em potencial podem ser os mais adequados para suas organizações e também onde os pontos fortes e fracos da segurança cibernética de suas organizações mentira.

A maioria dos CISOs pedirá investimentos e aumentos no orçamento para responder a eventos atuais ou preocupações de segurança de longa data, mas eles não têm pontos de dados suficientes para apoiar a solicitação”, disse Fulton. “Ao usar a estrutura MITRE ATT&CK como guia para essas conversas, os CISOs poderão explicar efetivamente a gravidade das ameaças e as ações para mitigá-las, permitindo que os CIOs sejam participantes ativos“.

Fonte: SC Magazine por  Paul Wagenseil é estrategista de conteúdo personalizado da CyberRisk Alliance

Veja também:

Sobre mindsecblog 1765 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

1 Trackback / Pingback

  1. Como funcionam as avaliações do MITRE Engenuity ATT&CK – Neotel Segurança Digital

Deixe sua opinião!