0
0
Um novo conjunto de avaliações para provedores de serviços de segurança gerenciados que o MITRE Engenuity lançou pode fornecer aos tomadores de decisão corporativos um recurso útil para consultar ao selecionar um provedor. A chave para se beneficiar da informação, porém, é saber como interpretar os resultados, disseram MITRE e outros esta semana.
A primeira avaliação da MITRE Engenuity de provedores de serviços de segurança – como suas avaliações de produtos – não oferece vencedores ou perdedores, nem classificações com base no desempenho, nem qualquer indicação de quão bom ou ruim um fornecedor pode ter se saído.
Em vez disso, oferece informações detalhadas sobre como diferentes provedores de serviços de segurança analisam e descrevem o comportamento do adversário para seus clientes. A avaliação do MITRE deixa inteiramente a cargo dos profissionais e equipes de segurança que usam os dados fazer qualquer comparação de fornecedores que eles possam desejar.
Uma visão objetiva dos recursos de MDR
“As avaliações ATT&CK da MITRE Engenuity para serviços gerenciados são provavelmente a única demonstração objetiva do que está disponível no mercado de serviços gerenciados e detecção e resposta gerenciada (MDR)”, diz Katie Nickels, diretora de inteligência da Red Canary, um dos 16 provedores de serviços de segurança que participou da avaliação. “Ele permite que as organizações vejam uma demonstração realista de como essas ferramentas realmente funcionam, com esses resultados sendo fornecidos por terceiros neutros.”
Para a avaliação, o MITRE Engenuity deu a cada um dos fornecedores participantes a oportunidade de implantar suas ferramentas de detecção e monitoramento de adversários em um ambiente Microsoft Azure hospedado pelo MITRE. Uma equipe roxa MITRE então executou um ataque simulado ao meio ambiente usando táticas e técnicas do conhecido grupo de ameaças iraniano OilRig .
Os provedores de serviços que participaram da avaliação sabiam que o ataque simulado aconteceria dentro do horário comercial em um período específico de duas semanas. No entanto, o MITRE não os informou sobre o tempo mais exato, quais técnicas usaria ou qual adversário o MITRE Engenuity estava emulando.
Ao realizar o ataque simulado, a equipe do MITRE Engenuity apresentou táticas adversárias comumente usadas, como spear-phishing para acesso inicial, dumping de credenciais, instalação de shell da Web, movimento lateral, exfiltração de dados e limpeza. Os fornecedores tiveram a oportunidade de usar qualquer uma das ferramentas em seu portfólio MDR para avaliar a atividade maliciosa e relatar sobre ela.
Mas as regras do MITRE os proibiam de tomar qualquer medida para responder ou bloquear o ataque porque o objetivo era ver como cada provedor de serviços detectava e analisava o ataque em andamento e os detalhes e clareza com que relatava suas descobertas.
Analisar os resultados pode ser desafiador
Os resultados da avaliação do MITRE Engenuity para cada provedor de serviços participante oferecem uma visão detalhada e de alto nível de como cada um deles detectou o ataque em toda a cadeia. Ele fornece uma visão detalhada da análise que cada fornecedor forneceu em cada estágio, suas comunicações com o MITRE durante a emulação, as técnicas individuais que eles detectaram e relataram e qual contexto e informações eles forneceram sobre o ataque.
As informações podem ser muito úteis para profissionais de segurança qualificados que não têm recursos para fazer seus próprios testes e estão dispostos a comparar os resultados por conta própria, diz John Pescatore, diretor de tendências emergentes de segurança do SANS Institute. Mas os dados podem ser difíceis de analisar para outros, diz ele.
“O MITRE Engenuity propositalmente não facilita a classificação dos fornecedores em suas avaliações”, diz Pescatore. “Portanto, os testes não são úteis para quem quer apenas fazer uma escolha ‘segura’ ou competir entre os três primeiros.”
“Para comparar, eu teria que olhar para cada um e contar quantas técnicas, etc., eles cobriram, e obteria algum tipo de classificação”, observa Pescatore. “Mas, para entender como eles fizeram isso, para ver como isso se encaixaria em meus processos, tenho que obter informações do fornecedor ou brincar com o produto ou serviço por conta própria.”
Contexto é a chave
Nickels, da Red Canary, diz que, embora os resultados não ofereçam uma comparação clara entre os fornecedores, esse não é o ponto. “Cada provedor é diferente na forma como detecta atividades e comunica descobertas, e cada organização e equipe de segurança tem necessidades diferentes”, diz ela.
A melhor maneira de entender o valor fornecido por cada fornecedor na avaliação do MITRE Engenuity é considerar aspectos qualitativos, como como cada fornecedor se comunicou com o MITRE durante a emulação, as capturas de tela que eles tiraram e a análise e o contexto que eles podem ter fornecido, ela diz: “Examinar esses recursos, embora intensivos em mão de obra, oferecerá às organizações a melhor visão do valor fornecido por cada fornecedor.”
Em um relatório desta semana , a Red Canary também destacou o que descreveu como algumas limitações dos testes MITRE Engenuity, como ser muito focado no endpoint e ser muito ponderado para a cobertura de detecção e não o suficiente na resposta.
“O teste exigia que os participantes desligassem muitos controles preventivos e de segurança”, diz Nickels. “Sob circunstâncias normais, a maioria dos fornecedores que participaram teria detectado e respondido à atividade de emulação do MITRE relativamente cedo, evitando assim a atividade mais impactante em estágio posterior”.
Outro fator a ter em mente ao interpretar os resultados é se todos os fornecedores participantes implantaram tecnologias que normalmente usam para MDR ou se usaram outra coisa para a avaliação. “Recomendamos que as organizações que analisam esses resultados perguntem aos fornecedores se o ambiente deles era normal para o cliente médio.”
Recomendação da MITRE Engenhosidade
Em uma postagem no blog, Ashwin Radhakrishnan, gerente geral de avaliações ATT&CK da MITRE Engenuity, recomendou que os usuários considerem os resultados no contexto adequado . Como observou Nickels, o MITRE é fortemente recomendado contra as organizações que apenas analisam o número total de técnicas que um fornecedor pode ter detectado como o único critério.
“Antes de iniciar qualquer análise de cobertura técnica, é importante determinar quais técnicas são mais relevantes para sua organização com base nos grupos adversários e ameaças que sua organização enfrenta”, disse MITRE. A postagem do blog ofereceu 10 maneiras pelas quais os profissionais de segurança devem interpretar os resultados da avaliação.
As recomendações incluem examinar os status dos relatórios de alto nível dos provedores de serviços para obter uma compreensão de alto nível de como eles se saíram na avaliação, observar como os provedores de serviços apresentaram suas descobertas a seus clientes e determinar se os provedores de serviços atribuíram corretamente o adversário (OilRig). Algumas das outras medidas que os usuários consideram é se os provedores de serviços recomendaram alguma medida de mitigação; a extensão de seus relatórios; a clareza da linguagem dos relatórios; e os detalhes em seus próprios lançamentos sobre as avaliações, disse a MITRE Engenuity.
FONTE: DARK READING