No teste deste ano, a MITER Engenuity usou a base de conhecimento MITER ATT & CK® para emular as táticas e técnicas de Carbanak e FIN7, dois grupos que comprometeram serviços financeiros e organizações de hospitalidade por meio do uso de malware e técnicas sofisticadas.
As atividades desses adversários resultaram no roubo de mais de US $ 1 bilhão em centenas de empresas nos últimos cinco anos.
Vamos usar este artigo para discutir alguns pontos relacionados à abordagem de detecção e fazer referência a algumas ferramentas e peças úteis que a MITER Engenuity tem feito para acompanhar as avaliações.
O que queremos dizer com visibilidade - e por que isso é importante?
Queremos dizer que a ferramenta fornece a um caçador de ameaças, especialista em segurança ou resposta a incidentes acesso fácil aos conjuntos de dados de que precisam para todas as fases do trabalho :
• Detecções de alta fidelidade
• Investigações
• Resposta
• Ameaça de caça
Como as avaliações da ATT & CK nos ajudam a entender a visibilidade?
A visibilidade de um produto nas avaliações MITER ATT & CK reflete o número total de subetapas de teste que têm uma "detecção" atribuída a elas.
Visibilidade é uma métrica que o MITER Engenuity agora calcula para cada fornecedor em todas as avaliações até o momento.
Para subetapas de teste com múltiplas detecções (por exemplo, telemetria e técnica), apenas a detecção superior (por exemplo, técnica) contribuiria para a contagem.
Durante a avaliação Carbanak + FIN7, o F-Secure teve uma detecção em 152 das 174 etapas do teste, ou 87% (arredondado para baixo). Isso corresponde à visibilidade fornecida por nossas ofertas durante a avaliação APT3 (89%) e APT29 (88%), evidência do trabalho que colocamos para garantir que os caçadores de ameaças ou respondentes de incidentes possam detectar, investigar e responder às técnicas que os invasores estão usando hoje.
Evite falsos positivos
Os ataques sempre envolverão várias atividades em cada estágio do ataque. Embora os defensores só precisem detectar uma dessas atividades para entender que um ataque está em andamento, quanto mais estágios você tiver capacidade de detecção, melhores serão suas chances de detectar e interromper um ataque. No entanto, é importante equilibrar isso com a possibilidade de que o que pode parecer um ataque seja na verdade inócuo - um falso positivo. Às vezes, é melhor não ter uma regra de detecção ou analítica que você sabe que será muito barulhenta e propensa a falsos positivos e, em vez disso, focar nos casos de uso de alta fidelidade.
O MITER Engenuity cuida de todos com recursos como a Técnica e as Ferramentas de Comparação de Participantes, que permitem que você se aprofunde no desempenho de uma solução em relação a uma técnica que você identificou como sendo de maior importância quando se trata de detecção.
Acreditamos que as avaliações fornecem uma visão inestimável para os compradores - e nos ajudam a melhorar nossa oferta.
Com as avaliações - e outras ferramentas do MITER Engenuity - os usuários têm uma noção melhor da eficácia de um produto de detecção em alertar para as técnicas que os invasores estão usando hoje.
Entender como cada solução funciona para enfrentar o desafio é particularmente importante, devido ao tamanho e à natureza fragmentada do mercado de detecção.
Para saber mais, fale com um especialista Brasiline.