Evaluación SOC vs MITRE APT29 – Racing con Cozy Bear


MITRE acaba de publicar los resultados de la evaluación APT 29 de 21 productos comerciales de ciberseguridad hoy, incluido McAfee MVISION EDR. Esta evaluación, realizada en forma de un ejercicio de ataque y defensa colaborativo, se basa en ATT & CK®, una base de conocimiento de libre acceso y código abierto de tácticas y técnicas adversarias que es ampliamente utilizada por los equipos azules (los defensores) para encontrar brechas en la visibilidad. , herramientas defensivas y procesos.

En esta evaluación, MITRE, desempeñó el papel de un equipo rojo (el atacante), utilizando su base de conocimiento ATT & CK para examinar la capacidad de MVISION EDR y MVISION Endpoint para detectar las tácticas y técnicas utilizadas por APT29 (también conocido como Cozy Bear, The Dukes y Duke acogedor entre otros). APT29, es el grupo que se cree que opera en nombre del gobierno ruso que comprometió al Comité Nacional Demócrata a partir de 2015. Esta evaluación tuvo lugar durante un período de dos días. Cada día se ejecutó una versión diferente del ataque compuesta de 10 pasos utilizando varias técnicas atribuidas a APT29.

Si bien es importante tener en cuenta que el objetivo de estas evaluaciones no es clasificar o puntuar los productos, nuestro análisis de los resultados descubrió que el equipo azul de McAfee pudo utilizar MVISION EDR para obtener una ventaja significativa sobre el adversario, logrando:

  • 100% de visibilidad de los pasos de ataque en el día 1 y 89% en el día 2
  • 90% de detección de los pasos de ataque en el día 1 y 67% en el día 2

Durante la evaluación también instalamos MVISION Endpoint en modo observar sin bloqueo. Esto nos permitió determinar que el equipo azul habría bloqueado automáticamente el 40% de todos los pasos de ataque realizados por el equipo rojo en el día 1 y el 33% en el día 2.

Sin embargo, como todos los profesionales saben, la defensa cibernética es más complicada de lo que los datos en bruto pueden expresar, especialmente cuando se trata de actores de amenazas sofisticados. Años de guerra tanto en el espacio físico como en el cibernético nos han enseñado que observar y analizar datos en bruto es inútil hasta que se enmarque de una manera que brinde contexto tanto a los atacantes como a los defensores.

Si bien las acciones y los comportamientos del atacante se pueden modelar de manera efectiva utilizando MITER ATT & CK, los modelos (1) como Time Based Security (TBS) o Bucle OODA (Observar, Orientar, Decidir, Actuar) proporciona el contexto que los equipos de operaciones de seguridad y los equipos azules necesitan para tomar decisiones defensivas tácticas.

Seguridad basada en el tiempo: protección, detección y respuesta en contexto

Time Based Security (2) (TBS), fue introducido en 1999 por Winn Schwartau y sigue siendo uno de los modelos de seguridad más relevantes, efectivos y terriblemente simples que cualquier defensor puede aplicar hoy. Los principios enumerados en el libro de Schwartau son esenciales para cualquier equipo azul, independientemente de si usted es un CISO, un analista de SOC, un arquitecto de seguridad o un respondedor de incidentes. TBS proporciona un método sistemático y reproducible para responder preguntas como cuánta "seguridad" proporciona un producto o tecnología, o en este caso, qué tan seguros están sus sistemas contra un adversario que se comporta como APT29.

TBS proporciona un método metodológico, cuantitativo, probado matemáticamente, que combina la seguridad de la información y la gestión de riesgos para respaldar la toma de decisiones sobre el presupuesto de seguridad. Por ejemplo, al evaluar cuánta "seguridad" proporciona un producto o tecnología como EDR, los equipos de operaciones de seguridad y CISOS necesitan encontrar respuestas a estas preguntas:

  1. ¿Cuánto tiempo están expuestos mis sistemas?
  2. ¿Cuánto tiempo antes de detectar un compromiso?
  3. ¿Cuánto tiempo antes de responder?

Para ilustrar, en el mundo físico, puede comprar una caja fuerte para proteger cualquier activo, y sabrá cuánto tiempo le tomaría a alguien romper esa caja fuerte. Estas clasificaciones de rendimiento generalmente se clasifican según la cantidad de tiempo que sus objetos de valor están seguros cuando están bajo ataque por robo o incendio (3). Pero nunca pensaríamos en poner la caja fuerte y esperar a que los malos entren, sin hacer nada, ¿verdad? Es por eso que ponemos mecanismos de detección a su alrededor, sensores de movimiento, sensores de calor, alarmas de ventana, sensores de vibración, cámaras y guardias de seguridad para monitorearlos. ¿Podemos medir cuánto tiempo le toma a un atacante disparar cualquiera de esos sensores? ¡Absolutamente! Una vez que suena la alarma, ¿qué hacemos? Reaccionamos, llamamos a la policía y se presentan para limitar el impacto. ¿Podemos medir ese tiempo de reacción? ¡Por supuesto! Todo en el mundo de la seguridad física es cuestión de tiempo.

Figura 1: Citando a Schwartau: “Si lleva más tiempo detectar y responder a una intrusión que la cantidad de tiempo de protección que brindan las medidas de seguridad, es decir, si P <D + R, entonces la seguridad efectiva es imposible de lograr en este sistema . "

TBS establece que en el mundo de la ciberseguridad, al igual que en el mundo físico, la protección corre paralela a la detección y la reacción (ver Figura 1). Si el intruso está dispuesto a dedicar recursos para evitar los mecanismos de protección, y en ausencia de cualquier detección o reacción, el atacante siempre puede ganar. Al final, comprometer un sistema es solo cuestión de tiempo.

Competir con APT29: todo es tiempo

Si bien muchos proveedores se centran únicamente en los datos y estadísticas en bruto, nuestro enfoque se centra en modelar cómo un equipo azul, un analista de SOC o un defensor cibernético lo harían contra este ataque, considerando el modelo TBS. Para esta evaluación, nuestro equipo azul utilizó nuestros productos de la siguiente manera:

  • Protección de punto final – La protección no era el foco de este MITER ATT & CK, por lo tanto, asumimos el peor de los casos e instalamos McAfee MVISION Endpoint deshabilitado, en modo de monitoreo. En cualquier caso, las alarmas activadas por el mecanismo de protección de McAfee pueden considerarse como un mecanismo de detección ALTAMENTE táctico. Como todo analista de SOC sabe, un bloque nunca es un "bloquear y olvidar", sino un "bloquear e investigar".
  • Detección de punto final a través de McAfee MVISION EDR (foco de MITER ATT & CK).

Si bien las capacidades de reacción MVISION EDR no se consideraron como parte de esta evaluación, es evidente que una reacción rápida es un elemento clave en la ecuación TBS (P> D + R) para una exposición reducida y, por lo tanto, para un impacto limitado contra cualquier adversario (4)

Utilizando los resultados de la evaluación, modelamos los datos siguiendo una línea de tiempo de ataque, agrupando las técnicas ejecutadas por el equipo rojo MITER ATT & CK para los días 1 y 2 en cada uno de los pasos (hitos de ataque) que emplearon. Como SOC, nuestro objetivo sería bloquear, detectar y reaccionar lo antes posible en la línea de tiempo del ataque, sabiendo que una vez que el atacante ha robado las credenciales y ha comenzado el movimiento lateral, su ventaja y el impacto del ataque aumentan exponencialmente. Por esta razón, dibujamos una línea justo antes del paso "movimiento lateral". A esto lo llamamos el "punto de ruptura".

Para representar los datos de cada día de evaluación, enumeramos las categorías de detección utilizadas por MITRE (5) además de:

  • Bloquear: Detecciones activadas por MVISION Endpoint que habrían resultado en una actividad bloqueada. Estas alarmas habrían ralentizado al atacante, además de haber proporcionado una detección altamente táctica al SOC.
  • Interrogatorio de host: Representa los datos que se extraen manualmente de un punto final. En MVISION EDR, estos datos pueden residir en la nube o en el punto final en sí, y pueden recuperarse mediante búsquedas en tiempo real, el motor de recopilación o mediante investigaciones automatizadas.

Observando las Figuras 2 y 3 a continuación, los resultados muestran:

  1. Si se hubiera habilitado la prevención en los puntos finales (la configuración predeterminada para McAfee MVISION Endpoint), los defensores habrían bloqueado el 29% de los pasos realizados por el atacante antes de punto de ruptura en el día 1 y 40% en el día 2. Como SOC, esto habría cumplido nuestro objetivo de interrumpir al atacante varias veces, ralentizando el ataque para extender nuestro tiempo de protección (PAG)
  2. los el equipo azul pudo detectar el 86% de los pasos realizados por el atacante antes de punto de ruptura en el día 1 y 60% en el día 2. Las primeras detecciones (RE) de estas tácticas y técnicas, aumentadas con un contexto adicional proporcionado por la telemetría y el interrogatorio del host, permiten al SOC reducir la exposición y acelerar los esfuerzos de respuesta y remediación (R)
  3. los el equipo azul pudo ver el 100% de los pasos realizado por el atacante antes de punto de ruptura en el día 1 y 80% en el día 2. Esta visibilidad estaba fácilmente disponible para el SOC sin la necesidad de utilizar herramientas adicionales y, por lo tanto, ahorrar tiempo.
Figura 2: APT29 emulado en 10 pasos usando Pupy, Meterpreter y scripts personalizados (Día 1)

Figura 3: APT29 emulado en 10 pasos usando POSHC2 y scripts personalizados (Día 2). Tenga en cuenta que MITRE eliminó el paso 19 debido a problemas de emulación.

Conclusión

Tanto en el día 1 como en el día 2, el equipo azul habría podido recibir indicaciones tempranas de un ataque varias veces antes del punto de ruptura. Las capacidades de protección también habrían interrumpido al atacante varias veces. Todo esto les da tiempo a los defensores para responder utilizando las capacidades de EDR para clasificar, analizar, investigar, contener y erradicar la amenaza., incluido el aislamiento de los sistemas afectados. Además, las capacidades de MVISION EDR como el agrupamiento de amenazas y las investigaciones asistidas por aprendizaje automático habrían ayudado a acelerar la respuesta, lo que resultaría en un tiempo de exposición reducido (Exposición = Detección + Reacción) que habría permitido al SOC gestionar el riesgo de esta intrusión, reduciendo el impacto de un compromiso.

En resumen, las soluciones de seguridad no pueden evaluarse mediante datos sin procesar sin ponerlos en contexto y dentro del marco defensivo adecuado. La evaluación MITRE APT29 muestra cómo McAfee proporciona seguridad efectiva basada en el tiempo al combinar protección, así como detección temprana y respuesta rápida en puntos críticos a lo largo de la cadena de ataque, permitiendo a los equipos de Operación de Seguridad y a los ciberdefensores reducir la exposición y limitar el impacto de los ataques, incluso los sofisticados

* MVISION Endpoint es parte de nuestra tecnología de protección de puntos finales McAfee, optimizada para Windows 10.

(1) https://www.sans.org/cyber-security-summit/archives/file/summit-archive-1524596581.pdf

(2) https://winnschwartau.com/wp-content/uploads/2019/06/TimeBasedSecurity.pdf

(3) http://www.keyfinders.org/burglary.htm

(4) https://www.mcafee.com/blogs/enterprise/endpoint-security/response-required-why-identifying-threats-with-your-edr-isnt-enough/

(5) https://attackevals.mitre.org/APT29/detection-categories.html





Enlace a la noticia original