McAfee ofrece capacidades máximas de ciberdefensa en la evaluación Carbanak + FIN7 ATT & CK® de MITRE


Cada año, MITRE Engenuidad™ realiza evaluaciones independientes de productos de ciberseguridad para ayudar al gobierno y la industria a tomar mejores decisiones para combatir las amenazas a la seguridad y mejorar las capacidades de detección de amenazas de la industria. Estas evaluaciones se basan en MITRE ATT & CK®, que es ampliamente reconocido como el marco de facto para rastrear tácticas y técnicas adversas. En McAfee sabemos que los ciberdelincuentes siempre están desarrollando su oficio y estamos comprometidos con proporcionarEn g equipos azules (ciberdefensores) las capacidades necesarias para ganar el juego. Para ello, creemos en la importancia de ponertintineo nuestras soluciones de seguridad a través de rigurosas pruebas. Para demostrar nuestro compromiso, McAfee ha participado en todos los MITRE Engenuidad misorpresa mivaloraciones hasta la fecha, incluida la ronda anterior 1 (APT3 emulación) y ronda 2 (APT29 emulación).

Hoy, MITRE Engenuidad dio a conocer los resultados de la Carbanak y evaluaciones FIN7 (ronda 3) que se llevaron a cabo durante los últimos meses. McAfee participó en esta evaluación, junto con otros 28 proveedores, que probaron las capacidades de sus soluciones de ciberseguridad, en lo que ha sido la Evaluación ATT & CK más completa hasta la fecha, que cubre 20 pasos principales y 174 sub-pasos.

Por primera vez, MITRE Engenuidad ofreció una extensión opcional a las evaluaciones de detección para examinar la capacidad de un proveedor para protegerse contra técnicas adversas específicas utilizadas por estos grupos. Esta fue también la primera vez que las evaluaciones fueron más allá de los sistemas Windows y abordaron técnicas dirigidas a los dispositivos Linux que se utilizan a menudo en redes como servidores de archivos o controladores de dominio.

Si bien es importante tener en cuenta que el objetivo de estas evaluaciones de ATT & CK no es clasificar o calificar productos, nuestro análisis de los resultados encontró que el equipo azul de McAfee pudo usar MVISION EDR, complementado por la cartera de McAfee, para obtener una ventaja significativa sobre el adversario. , logrando:

  • Visibilidad 100% en los 10 pasos principales del ataque en el día 1 (Carbanak), y Visibilidad 100% en los 10 pasos principales del ataque en el día 2 (FIN7).
  • Detecciones 100% analíticas (cualquier detección que no sea de telemetría) en los 10 pasos principales del ataque en el día 1 (Carbanak), y Detecciones 100% analíticas en los 10 pasos principales del ataque en el día 2 (FIN7).
  • 87% visibilidad a través del Total de 174 sub-pasos para los 2 escenarios de ataque.
  • 72% de detecciones aprovechando dos o más fuentes de datos para obtener más contexto y enriquecimiento.
  • 100% de bloqueo de los 10 principales pasos de ataque emulados en la prueba de protección (Carbanak + FIN7) y bloqueo temprano en el ciclo de ataque.

Emulación adversaria

Si bien los grupos emulados anteriores estaban más centrados en el espionaje, el equipo de evaluaciones de ATT & CK optó por emular Carbanak y FIN7 debido a la amplia gama de industrias a las que se dirigen estos grupos para obtener ganancias financieras. Ambos grupos tienen una sólida reputación en el uso de técnicas innovadoras. El espionaje eficiente y el sigilo están a la vanguardia de su estrategia, ya que a menudo dependen en gran medida de las secuencias de comandos, la ofuscación, "esconderse a la vista" y explotar por completo a los usuarios detrás de la máquina mientras saquean un entorno. También aprovechan un espectro único de utilidades operativas, que abarcan tanto software malicioso sofisticado como herramientas de administración legítimas capaces de interactuar con varias plataformas.

La evaluación de ATT & CK se llevó a cabo durante un total de 4 días, incluida la prueba de protección. Cada día se ejecutó una versión diferente del ataque que constaba de 10 pasos. El día 1, MITRE Engenuidad emuló un ataque llevado a cabo por el Carbanak grupo a una institución financiera que comienza con la violación de la estación de trabajo del Gerente de RR.HH. e incluye elevación de privilegios, robo de credenciales, movimiento lateral al sistema del CFO, recopilación de datos confidenciales en sistemas Windows y Linux y la suplantación de transferencias de dinero. El día 2, MITRE Engenuidad emuló un ataque llevado a cabo por el grupo FIN7 contra un hotel, que involucró la violación del sistema del administrador del hotel, persistencia, robo de credenciales, descubrimiento, movimiento lateral a un sistema de contabilidad y el desnatado de datos de pago de los clientes.

El equipo azul de McAfee se defendió con éxito contra estos dos adversarios avanzados, demostrando el poder de la cartera de McAfee, incluido MVISION EDR, complementado con MVISION Endpoint Security (ENS), Advanced Threat Detection (ATD), Network Security Platform (NSP), Data Loss Prevention (DLP) y Enterprise Security Manager (ESM). Estos productos se configuraron siguiendo MITRE Engenuity's normas:

  • Para la evaluación de la detección, todos los escáneres y las reglas de ENS se establecieron como solo para informes.
  • Para la evaluación de la protección, las reglas de Bloqueo de comportamiento de ataque (ABB) / Reducción de superficie de ataque (ASR) de ENS se establecieron para bloquear mientras que la regla "Crear o modificar archivos o carpetas de forma remota" se deshabilitó a petición de MITRE.

Durante estos 4 días de intensa formación de equipos morados, McAfee demostró que su cartera ofrece sólido cibernético defensasmi a través de Las 5 principales capacidades que más importan a cualquier equipo de operaciones de seguridad: seguridad basada en el tiempo, alerta accionabilidad,detección en profundidad, protección y visibilidad.

Seguridad basada en el tiempo

Seguridad basada en tiempo (TBS) es uno de los sistemas de seguridad más relevantes, efectivos y sencillos modelos un defensor puede postularse. Proporciona un mecanismo para determinar si un equipo azul tendría la información necesaria, oportuna y procesable para defenderse de manera efectiva contra ataques adversarios.

Usando los resultados de la ATT & CK Evaloración, modelamos los datos siguiendo una línea de tiempo de ataque, agrupando las técnicas ejecutadas por el equipo rojo de ATT & CK para los Días 1 (Carbanak) y 2 (FIN7) en cada uno de los pasos (hitos de ataque) que emplearon. Para representar los datos de cada día de evaluación, enumeramos las categorías de detección utilizadas por MITRE Engenuidad. Como muestran las Figuras 1 y 2, durante la evaluación, McAfee proporcionó el nivel máximo de visibilidad, detección y contexto para cada paso importante del ataque. Un analista que utilizara los productos de McAfee habría recibido una alerta de amenazas correlacionada y enriquecida para cada uno de los pasos de estos ataques avanzados, incluidas las referencias a INGLETE Engenuity's Marco ATT & CK y puntos de pivote para telemetría enriquecida, lo que permite una detección, investigación y reacción más rápidas y, por lo tanto, reduce la exposición.

Figura 1. Seguridad basada en el tiempo por Carbanak (Día 1)

Figura 2. Seguridad basada en el tiempo para FIN7 (día 2)

Capacidad de acción de alerta

Para tener éxito como defensor, es esencial reaccionar de la manera más rápida posible, dando la alarma lo antes posible en la cadena de ataque, mientras correlaciona, agrega y resume toda la actividad posterior para preservar la capacidad de acción. MVISION EDR de McAfee conservó la capacidad de acción y redujo alerta de la fatiga durante la evaluación proporcionando contexto y enriquecimiento, lo que resulta en una proporción de 62%1 detecciones analíticas (detecciones no telemétricas) fuera del 274-recuento total de detecciones. Esto fue posible debido a la fuerte correlación de McAfee y a tener toda la telemetría etiquetada y etiquetada lo más cerca posible de la fuente.

Detección en profundidad

La detección eficaz de la técnica de ataque requiere ciertos puntos de vista. La perspectiva adicional mejora el contexto, la correlación y, posteriormente, la fidelidad. Tener diversas fuentes de datos para cada técnica permite una cobertura en cantidad y calidad.

McAfee demostró cobertura en una docena de fuentes de datos diferentes durante la evaluación. con el 72% de las detecciones utilizando dos o más fuentes de datos.

Figura 3. McAfee Data snuestra diversidad en todo 274 detecciones

Proteccion

Por primera vez en un ATT & CK mivaloración, MITRE Engenuidad ejerció 10 escenarios de protección; un subconjunto de las secuencias de ataque utilizadas durante la evaluación de detección. McAfee demostró su eficacia de protección superior al interrumpir con éxito los 10 ataques, al principio de la cadena, antes de que ocurriera cualquier impacto. Antes de la interrupción, se producían detecciones de contexto alto y telemetría para alertar al analista.

Figura 4. Bloqueo del 100% en cada prueba de protección

Visibilidad

Muchas organizaciones viven en un mundo impulsado por alertas donde no hay suficientes datos para respaldar las actividades de operaciones de seguridad clave, incluidas las investigaciones o la búsqueda de amenazas. Durante la evaluación de Carbanak + FIN7, McAfee brindó visibilidad en todos los pasos principales del ataque y 87% de visibilidad del recuento total de subpasos en ambos días. Vale la pena señalar que el restante 13% haceres no necesariamente representan puntos ciegos, sino que los criterios mínimos seleccionados por MITRE Engenuidad no se cumplió, según las reglas de evaluación. Por ejemplo, más La visibilidad se obtuvo mediante la detonación automatizada de muestras en nuestro entorno de pruebas ATD, que proporciona un contexto de datos adicional a los analistas de seguridad durante un ataque real.

Conclusiones

En McAfee, sabemos cómo funcionan las operaciones de seguridad, y por eso diseñamos nuestra plataforma de detección y respuesta con "Equipo humano-máquina' en mente. Para esta última ronda del MITRE Engenuidad Evaluación ATT & CK, nuestro Tamenaza Detección miningeniería y Arespondido Cmedidas de medición (AC3) el equipo ha entregado 85% más visibilidad y más 22% más detecciones analíticas que en el anterior Evaluación APT29.

Durante esta evaluación, Demostramos que McAfee ofrece una defensa mejor equilibrada en las 5 principales capacidades que más importan a cualquier equipo de operaciones de seguridad: seguridad basada en el tiempo, alerta accionabilidad,detección en profundidad, protección y visibilidad. Nuestra plataforma de detección y respuesta de McAfee ofreció un contexto significativo mejorado en toda la cadena de ataque, lo que permitió a los defensores cibernéticos interrumpir los ataques de manera temprana, antes de que se produzcan daños.

Esté atento a los próximos detalles sobre cómo cada una de estas capacidades de seguridad desempeñó un papel clave en la evaluación de Carbanak + FIN7 como parte de nuestra serie de blogs de evaluación ATT & CK.

MITRE ATT & CK y ATT & CK son marcas comerciales registradas de MITRE Corporation.





Enlace a la noticia original