Як проводяться дослідження ATT&CK і які результати вони принесли в 2020 році

Як проводяться дослідження ATT&CK і які результати вони принесли в 2020 році

У цій статті ми детальніше зупинимося на деталях дослідження, його методах і результатах.

В кінці квітня 2020 року The MITRE Corporation опублікувала результати свого порівняльного дослідження, присвяченого здібності інструментів різних вендорів зі сфери кібербезпеки виявляти кібератаки і спроби вторгнення. Для дослідження застосовувалася матриця ATT&CK та інструменти з арсеналу угруповання хакерів APT29. Фахівців MITRE в першу чергу цікавив threathunting («полювання на загрози») — визначення найбільш значущих сфер контролю і збір даних про методи кіберзлочинців для подальшого їх аналізу та розробки/вдосконалення механізмів захисту. У цій статті ми детальніше зупинимося на деталях дослідження, його методах і результатах.


Рис. 1 — Відсоток виявлення загроз на першому і другому етапі дослідження.

Що таке MITRE ATT&CK

The MITRE Corporation — некомерційна організація, заснована в США в 1958 році, яка керує цілим рядом федеральних науково-дослідних центрів і займається системною інженерією та дослідженнями у різних сферах. Програма MITRE ATT&CK була створена для оцінки продуктів в області кібербезпеки і використовує відкриту базу знань — так звану матрицю ATT&CK. Мета програми — виявлення кращих і гірших вендорів на ринку, а вдосконалення систем захисту організацій від атак хакерів. ATT&CK допомагає кінцевим користувачам правильно застосовувати і настроювати комерційні продукти у сфері кібербезпеки, використовуючи дані про типову поведінку і вектори атак хакерів. Вона дає розуміння реальних можливостей цього при виявленні цих атак і боротьбі з ними. Ще вона допомагає спільноті вендорів і розробників вдосконалювати свої рішення, щоб краще протистояти кіберзлочинцям.

В рамках досліджень ATT&CK MITRE бере за основу інструменти і методи атак конкретних APT (advanced persistent threat, або «розвинена стійка загроза») — угруповань хакерів, відомих на глобальному рівні своєю успішністю і значними ресурсами, що дозволяють цим угрупованням уникати виявлення протягом декількох років. Потім для цих інструментів підбираються максимально схожі по можливостям варіанти з публічно доступних для ATT&CK ніколи не застосовується ПО самих хакерських груп. І нарешті, фахівці MITRE проводять симуляцію за сценаріями, характерним для реальних кібератак, з поетапною структурою.

Наприклад, для дослідження ATT&CK APT29 було створено два сценарії: перший включав в себе широкомасштабну фішингову кампанію, швидкий злом системи та копіювання файлів певних типів, а другий починався після «оцінки» віртуальними хакерами отриманих даних і ставив своєю метою потайне проникнення в мережу «жертви» для повного захоплення контролю над нею.

APT29, або Cozy Bear, — російськомовна хакерська угруповання, створена приблизно в 2008 році. Вона володіє великими ресурсами і вважається відповідальною за злом інфраструктури організацій, пов’язаних з урядами різних країн, зокрема, Національного комітету Демократичної партії США в 2015 році.

Важливою відмінністю ATT&CK від інших програм є те, що її мета — не оцінка здатності продуктів захистити мережу та кінцеві пристрої користувачів, а визначення ефективності виявлення атак і обробки отриманих даних. Також ця програма не ранжує вендорів за ступенем успішності і не враховує такі аспекти їх продуктів, як продуктивність, зручність використання і TCO (сукупна вартість володіння).

Як спрацювали продукти Trend Micro

Для тестування MITRE в числі інших відібрала продукти Trend Micro — Apex One c Endpoint Sensor в якості основного інструменту, Deep Enterprise Security з підключенням всіх доступних модулів, Deep Discovery Inspector і службу Trend Micro MDR. На першому етапі ті змогли виявити 91,04% загроз, а на другому (після того, як всім учасникам дозволили поміняти налаштування своїх рішень) — 91,79%. І навіть без використання служби MDR індивідуальні рішення компанії досягли рівня виявлення в 86,00%, що є відмінним результатом. Також, незважаючи на те, що метою дослідження не було запобігання цих атак, інструменти Trend Micro однозначно змогли б заблокувати більшість з них.

Микола Романов, архітектор рішень в Trend Micro зазначає: «брати Участь у такого роду дослідженнях критично важливо, тому що в ході тестів розробникам надається можливість оцінити свої рішення з допомогою незалежних тестів і внести необхідні зміни, щоб поліпшити визначення атак. Атаки в реальному світі не дають шансу на виправлення, тому якщо зловмисники проб’ють захист, то це гарантовано спричинить за собою значні збитки. Під час всього тестування рішення Trend Micro показали себе відмінно на всіх етапах».

Також продукти Trend Micro «взяли срібло» по кількості проігнорованих атак — їх було одинадцять за весь час тестування, що вкрай мало, враховуючи широке охоплення тестування і загальна кількість атак. Фахівці компанії відзначили, що цей показник не означає, що атака була повністю проігнорована. Кожен невыявленный елемент — це тільки один із кроків кіберзлочинців до проникнення в систему, тому досить виявити і заблокувати більшість з них, щоб уникнути зараження інфраструктури або крадіжки цінних даних.

У співвідношенні між обнаружениями типів атак General, Tactic і Technique («загальні», «тактичні» і «технічні») продукти Trend Micro також показали відмінний результат: 44 виявлених технічних атаки проти 12 загальних атак. Він означає, що рішення Trend Micro не тільки здатні виявити сам факт атаки, але й можуть досить точно ідентифікувати її тип, щоб прийняти відповідні заходи по захисту системи від найбільш небезпечних інструментів кіберзлочинців.

При цьому ЗА Trend Micro в індивідуальних тестах не тільки показало високі результати, але і уник більшості «зайвих» спрацьовувань, які розсіюють увагу фахівців з кібербезпеки і знижують їх можливості по боротьбі з реальними загрозами. На думку вендора, не всі виявлені кроки хакерів вимагають негайного втручання від ІТ-персоналу, так як самі по собі вони не можуть привести атаку до успіху. Краще зосередити їх увагу на дійсно важливих атаках, які допомагають виявити рішення Trend Micro, — в цьому полягає вся суть платформи XDR, яку компанія планує вивести на ринок до середини 2020 року.

Висновки

Цінність описаного дослідження MITRE ATT&CK, полягає не стільки в тому, що воно служить для складання умовного рейтингу інструментів, скільки в тому, що воно дійсно допомагає показати потенційним клієнтам і самим розробникам реальні можливості продуктів, їх сильні і слабкі сторони, а також підказує оптимальні способи використання цих продуктів для боротьби з актуальними загрозами. Для Trend Micro це дослідження стало першим, тому отримані позитивні результати виявилися досить вражаючими, враховуючи, що в ньому брав участь 21 великий вендор зі сфери кібербезпеки. З повними результатами, методологією та умовами тестування можна ознайомитися за посиланням.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

121

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх