0
0
Apesar dos melhores esforços das empresas para reforçar suas posturas de gerenciamento de eventos e informações de segurança (SIEM), a maioria das implementações de plataforma tem enormes lacunas na cobertura, incluindo a falta de mais de três quartos das técnicas comuns que os agentes de ameaças usam para implantar ransomware, roubar dados confidenciais e executar outros ataques cibernéticos.
Os pesquisadores da CardinalOps analisaram dados de plataformas SIEM de produção de empresas como Splunk, Microsoft Sentinel, IBM QRadar e Sumo Logic, e descobriram que eles têm detecções para apenas 24% de todas as técnicas MITRE ATT&CK. Isso significa que os adversários podem executar cerca de 150 técnicas diferentes que podem contornar a detecção do SIEM, enquanto apenas cerca de 50 técnicas são detectadas, disseram os pesquisadores.
Isto apesar do facto de os sistemas SIEM atuais terem dados suficientes para cobrir potencialmente 94% de todas estas técnicas, revelou a CardinalOps como parte do “Terceiro Relatório Anual sobre o Estado do Risco de Deteção de SIEM” da empresa, divulgado hoje.
Além disso, as organizações são amplamente iludidas sobre suas próprias posturas de segurança e “muitas vezes desconhecem a lacuna entre a segurança teórica que assumem ter e a segurança real que têm na prática”, escreveram os pesquisadores no relatório. Isso cria “uma falsa impressão de sua postura de detecção”.
A MITRE ATT&CK é uma base de conhecimento global de táticas e técnicas adversárias baseadas em observações do mundo real que visa ajudar as organizações a detectar e mitigar ataques cibernéticos. Os dados do relatório são o resultado da análise de mais de 4.000 regras de detecção, quase 1 milhão de fontes de log e centenas de tipos de fontes de log exclusivas usadas no SIEM em uma variedade de diversas verticais do setor — incluindo serviços bancários e financeiros, seguros, manufatura, energia e mídia e telecomunicações.
A falta de ajuste fino do SIEM para culpar a detecção falha
A questão-chave que contribui para o estado atual da eficácia do SIEM (ou falta dela) parece ser que, embora existam recursos para que as organizações usem conhecimento, automação e outros processos para detectar adversários e possíveis ataques em seus ambientes, elas ainda dependem em grande parte de processos manuais e outros “propensos a erros” para desenvolver novas detecções, observaram os pesquisadores. Isso dificulta a redução de suas listas de pendências e age rapidamente para preencher lacunas na detecção.
De fato, os SIEMs em si “não são mágicos” e dependem das organizações que os implantam para fazê-lo de forma correta e eficiente, observa Mike Parkin, engenheiro técnico sênior da Vulcan Cyber, um provedor de segurança como serviço de remediação de riscos cibernéticos corporativos.
“Como a maioria das ferramentas, elas exigem ajustes finos para entregar os melhores resultados para o ambiente em que são implantadas”, diz ele. “Esses resultados do relatório implicam que muitas organizações conseguiram o básico trabalhar, mas não fizeram o ajuste fino necessário para levar suas estratégias de detecção, resposta e gerenciamento de risco para o próximo nível.”
Além da necessidade de escalar os processos de engenharia de detecção para desenvolver mais detecções mais rapidamente, uma questão fundamental que parece estar triplicando a detecção em implantações de SIEM empresarial é que, em média, elas têm 12% das regras que são quebradas, o que significa que nunca registrarão um alerta quando algo estiver errado, de acordo com o relatório.
“Isso geralmente ocorre devido a mudanças contínuas na infraestrutura de TI, alterações no formato de log do fornecedor e erros lógicos ou acidentais ao escrever uma regra”, observaram os pesquisadores no relatório. “Os adversários podem explorar lacunas criadas por detecções quebradas para violar organizações com sucesso.”
Por que a MITRE ATT&CK é importante
O MITRE ATT&CK, criado em 2013, agora “se tornou a estrutura padrão para entender as cartilhas e o comportamento dos adversários”, observaram os pesquisadores. E à medida que a inteligência de ameaças avançou, também avançou a riqueza de conhecimento que a estrutura fornece, atualmente descrevendo mais de 500 técnicas e subtécnicas usadas por grupos de ameaças como APT28, Lazarus Group, FIN7 e Lapsus$.
“A maior inovação introduzida pela MITRE ATT&CK é que ela estende o modelo tradicional de cadeia de morte por intrusão para ir além de indicadores estáticos de comprometimento (como endereços IP, que os invasores podem mudar constantemente) para catalogar todos os playbooks e comportamentos adversários conhecidos (TTPs)”, escreveram os pesquisadores do CardinalOps.
As organizações veem claramente o valor em usar o MITRE ATT&CK para ajudá-las em seus esforços de segurança, com 89% atualmente usando a base de conhecimento para reduzir o risco de casos de uso de operações de segurança — como determinar prioridades para engenharia de detecção, aplicar inteligência de ameaças para triagem de alertas e obter uma melhor compreensão de TTPs adversários, observaram os pesquisadores. citando pesquisas ambientais, sociais e de governança (ESG).
No entanto, usar a estrutura para apoiar os esforços do SIEM e usá-la bem parecem ser dois cenários muito diferentes, segundo o relatório.
Fechando a lacuna do SIEM
Há medidas que as organizações podem tomar para ajudar a fechar a lacuna entre o que um SIEM é capaz de fazer em termos de detecção de ataques cibernéticos e como eles estão usando atualmente, disseram pesquisadores e especialistas em segurança.
Uma estratégia-chave seria escalar os processos de engenharia de detecção de SIEM para desenvolver mais detecções mais rapidamente usando automação, algo que as empresas já usam amplamente em “várias áreas do SOC, como detecção de anomalias e resposta a incidentes”, mas não tanto na detecção, observaram no relatório.
“A função de engenharia de detecção permanece teimosamente manual e tipicamente dependente de ‘ninjas’ com experiência especializada”, escreveram os pesquisadores.
De fato, ter foco na automação é fundamental para alcançar metas com recursos humanos e financeiros limitados, concorda um especialista em segurança.
“Isso inclui expandir a detecção automatizada para incluir vetores de ataque de Internet das Coisas (IoT) e tecnologia operacional (OT), além de ter planos já em vigor para a correção automatizada de ameaças”, diz John Gallagher, vice-presidente do Viakoo Labs na Viakoo.
Um dos principais desafios que as organizações continuam a enfrentar é que a superfície de ataque atual – que agora inclui um grande número de dispositivos vulneráveis conectados à rede, bem como a rede corporativa típica – cresceu muito além do que a organização de TI é atualmente capaz de suportar ou gerenciar, diz Gallagher.
“Defender e manter a integridade desses ativos requer que a TI trabalhe em estreita colaboração com outras partes da organização para garantir que esses ativos sejam visíveis, operacionais e seguros”, diz ele.
De fato, observa Parkin, até que as organizações possam obter uma imagem clara de suas superfícies de ameaça, gerenciar seus riscos e priorizar eventos para se concentrar no que mais importa, haverá problemas.
“Temos as ferramentas para fazer acontecer”, diz. “Mas pode ser um desafio implantá-los e configurá-los para obter o melhor efeito.”
FONTE: DARK READING