Qué significan las evaluaciones de MITRE Engenuity ATT & CK® para los equipos SOC


SOCwise pesa

Cuando el infame ciberataque de Carbanak sacudió a un banco de Europa del Este hace tres años este mes, pocos habrían adivinado que luego jugaría un papel protagónico en las evaluaciones empresariales de MITRE Engenuity ™ de los productos de ciberseguridad de nosotros y otros 28 proveedores. Recientemente compartimos los resultados de esta extensa prueba y en un SOCwise Para el debate, recurrimos a nuestros expertos de SOCwise para obtener información sobre lo que este ejercicio sin precedentes puede significar para los equipos de SOC que evalúan tanto las preocupaciones estratégicas como su efectividad táctica.

Carbanak es un oponente inteligente conocido por sus innovadores ataques a los bancos. FIN7 utiliza un malware equivalent y una estrategia de espionaje eficaz y sigilo para apuntar a los sectores minorista, de restauración y hotelería de EE. UU., Según MITRE Engenuity™, y ambos se destacaron en esta emulación. Según los informes, estos notorios actores han robado más de mil millones de dólares en todo el mundo durante los últimos cinco años. Un evento anual, la Evaluación ATT & CK de cuatro días abarcó 20 pasos principales y 174 subpasos del marco MITRE.

Lo primero que hay que tener en cuenta acerca de este ejercicio es que pocas empresas podrían esperar igualar su alcance. ¿Qué obtienes cuando emparejas equipos rojos y azules? «No he pasado por un ejercicio como ese en una organización con el equipo rojo y el equipo azul tratando de determinar operativamente cuáles son sus fortalezas y debilidades», dijo Colby Burkett, arquitecto de McAfee XDR, participante en el evento, en nuestra reciente Episodio SOCwise. «Y eso fue fantástico».

Muchos equipos de SOC realizan evaluaciones de vulnerabilidad y pruebas de penetración, pero nunca emulan este tipo de comportamientos, señaló Ismael Valenzuela, ingeniero principal sénior de McAfee y coanfitrión de SOCwise. Y agrega que muchas organizaciones carecen de los recursos y las habilidades para hacer ejercicios de formación de equipos morados.

Si bien nuestro equipo de SOCwise se entusiasmó con el valor de realizar ejercicios de equipo púrpura a gran escala, expresaron su preocupación de que el énfasis en la «visibilidad» no sea más valioso que la «capacidad de acción». McAfee, que obtuvo una puntuación del 87% en visibilidad, una de las mejores de la industria, obtuvo un noteworthy 100% en prevención en las evaluaciones de MITRE Engenuity ™.

Visibilidad iluminadora

Cuando pensamos en la visibilidad, pensamos en cuánta información útil podemos proporcionar a los analistas de SOC cuando se produce un ataque. Puede haber un tsunami de datos de ataque que ingresan a los SOC, pero solo se puede actuar cuando los datos que se presentan a los analistas son relevantes, señaló Jesse Netz, ingeniero principal de McAfee.

Un SOC bien informado encuentra un punto óptimo en un eje donde el número de falsos positivos es lo suficientemente bajo y los verdaderos positivos son lo suficientemente altos «donde realmente se puede hacer algo al respecto», agregó Netz.

Él cree que para los profesionales del SOC, la visibilidad es solo una parte de la conversación. «¿Qué tan procesables son los datos que está obteniendo? ¿Qué grado de utilidad tiene la plataforma en la que se le presentan esos datos? «

Por ejemplo, en la evaluación vimos que MVISION EDR de McAfee preserva la capacidad de acción y lower la fatiga de las alertas. Destacamos en las cinco capacidades que más importan a los equipos de SOC: seguridad basada en el tiempo, capacidad de acción de alertas, detección en profundidad, protección y visibilidad.

Si no puede hacer nada con la información que obtiene, sus resultados no son realmente útiles de ninguna manera. En este sentido, la prevención también triunfa sobre la visibilidad. «Es genial que podamos ver y obtener visibilidad de lo que está sucediendo», explicó Netz. «Pero al last del día, como profesional de la seguridad es aún mejor poder prevenirlo».

Ampliando el alcance

El equipo de SOCwise en general aplaudió el enfoque progresivamente sofisticado adoptado por las evaluaciones empresariales de MITRE Engenuity ™ de los productos de ciberseguridad, ahora en su tercer año. Sin embargo, nuestro panel de expertos señaló que esta ronda de pruebas tenía más que ver con la defensa de los endpoints que con las operaciones basadas en la nube, que son bastante fundamentales para defender la empresa genuine. Esperan que el enfoque cambie en el futuro.

Las evaluaciones empresariales de MITRE Engenuity ™ proporcionan una gran cantidad de datos útiles, pero nunca deben ser el factor decisivo en la decisión de compra de un producto de ciberseguridad. «Úselo como un componente de su arsenal de evaluación», aconseja Netz. «Ayudará a proporcionar un tipo de estadísticas sobre las capacidades de visibilidad en esta última ronda, incluidas algunas capacidades de detección también, pero concéntrese en los detalles y asegúrese de obtener su información de múltiples fuentes».

Por ejemplo, los ataques de Carbanak y FIN 7 pueden no ser relevantes para su organización en individual, especialmente si se centran en operaciones basadas en la nube.

Si bien ninguna emulación puede replicar perfectamente la experiencia de luchar contra las amenazas de día cero en tiempo real, Valenzuela de McAfee cree que estas evaluaciones brindan un valor tremendo tanto a nuestros clientes como a nuestros ingenieros de contenido de amenazas.





Enlace a la noticia initial