La introducción de las evaluaciones MITRE ATT&CK es una nueva adición a la arena de pruebas de terceros. El framework ATT&CK, y la evaluación en particular, ha evolucionado bastante para ayudar a avanzar la industria de la ciberseguridad entera, y los productos individuales de seguridad que sirven al mercado.
Los insights obtenidos de estas evaluaciones son increíblemente útiles. Pero, admitamos, que para todos excepto para aquellos que viven en los análisis, puede ser difícil de entender. La información es valiosa, pero es densa. Hay varias maneras de ver los datos y aún más maneras de interpretarlos y presentar los resultados (que sin duda ha notado después de ver todos los blogs de los vendors y los artículos de la industria). Hemos estado analizando los datos por la última semana desde que se publicaron, y aún tendremos mucho por analizar en los próximos días y semanas.
Entre más analizamos la información, más clara se vuelve la historia, por lo que queríamos compartir con usted los 10 resultados clave de Trend Micro:
1. Ver los resultados en la primera vuelta de la evaluación es importante:
- Trend Micro calificó en el primer lugar en detección en general. Somos líderes en detecciones basadas en las configuraciones iniciales de producto. Esta evaluación permitió que los vendors hicieran ajustes al producto después de una primera vuelta de la prueba para impulsar los índices de detección en una segunda vuelta. Los resultados MITRE muestran los resultados finales después de todos los cambios en el producto. Si evalúa lo que el producto puede detectar de la forma en que estaba configurado originalmente, tuvimos la mejor cobertura del grupo de 21 vendors.
- Es importante considerar que, los ajustes en el producto pueden variar en importancia y pueden o no estar inmediatamente disponibles en el producto actual del vendor. También creemos que es más fácil que a uno le vaya bien una vez que se da cuenta de qué es lo que está haciendo el atacante. En el mundo real, los clientes no tienen una segunda vuelta frente a un ataque.
- Dicho eso, también aprovechamos la oportunidad de la segunda vuelta para identificar mejoras en el producto, pero nuestras detecciones en general fueron tan altas, que, incluso eliminando aquellas asociadas a un cambio en la configuración, aún logramos el primer lugar.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM_BLOG_DETECTION-INDEX-VENDORS.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″] - Y para que nadie piense que estamos manipulando los datos… sin hacer ningún tipo de exclusión a los datos, y solamente tomando los resultados de MITRE en su totalidad, Trend Micro obtuvo el segundo índice de detección más alto, con más del 91% de cobertura de detecciones.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM_BLOG_DETECTION-DAY3.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
2. Hay una jerarquía en el tipo de detecciones principales:
las técnicas son lo más importante
- Hay una jerarquía natural en el valor de los diferentes tipos de detecciones principales.
- Una detección general indica que algo fue identificado como sospechoso, pero que no fue asignado a una táctica o técnica en específico.
- Una detección de la táctica significa que la detección puede atribuirse a una meta táctica (por ejemplo, credenciales de acceso).
- Finalmente, una detección de la táctica significa que la detección puede atribuirse a una acción adversaria específica (por ejemplo, dumping de credenciales).
- Tenemos una detección fuerte en técnicas, la cual es una mejor medida de detección. Con la técnica individual MITRE identificada, la táctica asociada también puede ser identificada ya que, típicamente, sólo hay un puñado de tácticas que pueden aplicarse a una técnica en específico. Al comparar resultados, puede ver que los vendors tienen menores números de detecciones de tácticas en general, demostrando un conocimiento general de dónde debería estar la prioridad.
- Similarmente, el hecho de que tuvimos menores números de detección en general comparados con la detección de técnicas es un punto positivo.
- Las detecciones en general típicamente están asociadas con una firma; como tal, esto prueba que dependemos poco de AV.
- También es importante notar que nos fue bien en telemetría, lo cual da acceso a los analistas de seguridad al tipo y la profundidad de la visibilidad que necesitan cuando buscan actividad detallada de los atacantes a lo largo de los activos.
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM_BLOG_detection-levels.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″ link=”https://attackevals.mitre.org/APT29/detection-categories.html ” target=”_blank” width=”1141″ height=”275″]
https://attackevals.mitre.org/APT29/detection-categories.html
3.Más alertas no son igual a un mejor sistema de alertas, es lo opuesto
- A primera vista, algunos podrían esperar que el número de alertas sea igual al número de detecciones. Pero no todas las detecciones son iguales, y no todo puede constituir una alerta (recuerde, estas detecciones son para los pasos de bajo nivel de los ataques, no para ataques separados.)
- Demasiadas alertas pueden llevar a la fatiga de alertas y agregar a la dificultad de separar lo valioso del ruido.
- Cuando considere las alertas asociadas con nuestras detecciones de mayor fidelidad (por ejemplo, la detección de la técnica), puede ver que los resultados muestran que Trend Micro tuvo buen desempeño para reducir el ruido de todas las detecciones a un mínimo de alertas significativas y accionables.
4. Las detecciones de Servicios Gestionados no son exclusivas
- Nuestros analistas de MDR contribuyeron a la categoría de “detección retrasada”. Es aquí donde la detección involucró la acción humana y pudo no haberse iniciado automáticamente.
- Nuestros resultados muestran la fuerza de nuestro servicio MDR como una forma para la detección y el enriquecimiento. Si un servicio MDR fue incluido en esta evaluación, creemos que le gustaría ver que ofrece una buena cobertura, ya que demuestra que el equipo puede detectar basándose en la telemetría recolectada.
- Lo que es importante resaltar, sin embargo, es que los números para la detección retrasada no necesariamente significan que era la única forma en que una detección podría hacerse / se hizo; la misma detección pudo identificarse por otros medios. Hay empalmes entre categorías de detección.
- Los resultados de nuestra cobertura de detección se habrían mantenido fuertes sin el involucramiento humano; aproximadamente 86% de cobertura de detección (con MDR, creció hasta el 91%).
[image url=”http://blog.la.trendmicro.com/wp-content/uploads/2020/05/TM_BLOG_Detection-steps.jpg” raw=”true” alignment=”center” margin_left=”0″ margin_right=”0″ margin_top=”0″ margin_bottom=”0″]
5. ¡No olvidemos la efectividad y la necesidad de bloquear!
- La evaluación MITRE no evaluó la capacidad de un producto de bloquear/proteger contra un ataque, pero de manera exclusiva observa qué tan efectivo es un producto para detectar un evento que ha sucedido, por lo que no hay una medida de eficacia de prevención incluida.
- Esto es importante para Trend, ya que nuestra filosofía es bloquear y prevenir lo más posible para que sus clientes tengan menos que limpiar/mitigar.
6. Necesitamos ver a través de más que Windows
- Esta evaluación miró solamente servidores y endpoints de Windows; no miró sistemas Linux, por ejemplo, donde, por supuesto, Trend Micro tiene una gran fortaleza en sus capacidades.
- Esperamos con ansias la expansión del rango de evaluación de los sistemas operativos. Mitre ya ha anunciado que la próxima ronda incluirá un sistema Linux.
7. La evaluación muestra hacia dónde va nuestro producto
- Creemos que la primera prioridad para esta evaluación está en las detecciones principales (por ejemplo, detección de las técnicas como se discute más arriba). La correlación cae en la categoría de la detección de modificaciones, la cual mira lo que sucede arriba y más allá de una detección inicial.
- Estamos felices con nuestras detecciones principales, y vemos grandes oportunidades para impulsar nuestras capacidades de correlación con Trend Micro XDR, en el cual hemos invertido fuertemente y está al centro de las capacidades que entregaremos en productos a nuestros clientes a finales de junio de 2020.
- Esta evaluación no tomó en cuenta nuestra correlación a lo largo de la seguridad de correos electrónicos; entonces hay valor de correlación que podemos entregar a nuestros clientes más allá de lo que está representado aquí.
8. Esta evaluación nos está ayudando a mejorar nuestro producto
- Los insights que nos ha dado esta evaluación han sido invaluables, nos han ayudado a identificar áreas de oportunidad y hemos iniciado mejoras en el producto como resultado.
- Además, usar un producto con una modalidad opcional de “solamente detección” ayuda a aumentar la inteligencia de SOC, por lo que nuestra participación en esta evaluación nos ha permitido hacer que nuestro producto sea aún más flexible en su configuración; y, por lo tanto, una herramienta aún más poderosa para el SOC.
- Aunque algunos vendors intenten usar esto contra nosotros, nuestras detecciones extra después del cambio de configuración muestran que podemos adaptarnos rápidamente al cambiante panorama de amenazas cuando sea necesario.
9. MITRE es más que la evaluación
- Aunque la evaluación es importante, es importante reconocer que MITRE ATT&CK es una base de conocimientos importante a la que la industria de la seguridad puede alinearse y contribuir.
- Tener un idioma y framework en común para explicar mejor cómo se comportan los adversarios, qué están intentando hacer y cómo, hace que toda la industria sea más poderosa.
- Entre las cosas que hacemos con o alrededor de MITRE, Trend ha contribuido y contribuye actualmente con nuevas técnicas para las matrices del framework y está potenciándolo en nuestros productos al utilizar ATT&CK como un idioma común para alertas y descripciones de detecciones y para parámetros de búsqueda.
10. ¡Es difícil no confundirse!
- MITRE no evalúa, posiciona o compara productos, por lo que, a diferencia de otras pruebas o reportes de análisis de la industria, no hay un conjunto identificado de “líderes”.
- Ya que esta evaluación aborda múltiples factores, hay muchas formas diferentes de ver, interpretar y presentar los resultados (como lo hemos hecho en este blog).
- Es importante que las organizaciones individuales comprendan el framework, la evaluación y, más importante, lo que sus propias prioridades y necesidades constituyen, ya que esta es la única forma de mapear los resultados para los casos de uso individual.
- Contacte con sus vendors para interpretar los resultados en el contexto que más haga sentido para usted. Debería ser nuestra responsabilidad ayudar a educar, no explotar algo para nuestro propio beneficio.
Leave a Reply