Millas de ancho y pies de visibilidad profunda de Carbanak + FIN7


En nuestro último blog sobre las capacidades de defensa, describimos los cinco objetivos de eficacia de las Operaciones de seguridad, que son los más importantes para un Sec Ops; este blog se centrará en la visibilidad.

Evaluación MITRE Engenuity ATT & CK® (Ronda 3) centrado en la emulación de Adversarios de Carbanak + FIN7 conocidos por sus prolíficas intrusiones que impactan en objetivos financieros que incluyen los sectores de negocios bancario y hotelero. El alcance de la prueba de la evaluación duró 4 días: 3 días se centraron en la eficacia de la detección con todos los productos configurados en modo de detección / monitorización únicamente, y el día restante se centró en el modo de protección configurado para bloquear eventos. Este blog muestra la amplitud y profundidad de nuestras capacidades de visibilidad fundamentales durante los 3 días de eficacia de detección.

Es importante señalar que, si bien el objetivo de estas evaluaciones de MITRE Engenuity no es clasificar o calificar productos, nuestro análisis de los resultados encontró que el equipo azul de McAfee pudo usar MVISION EDR, complementado por la cartera de McAfee, para obtener una visibilidad significativa. logrando:

Guión Alcance de la evaluación Resultado de visibilidad
Escenario – Carbanak En los 10 pasos principales (fases de ataque) 100%
Escenario – FIN7 En los 10 pasos principales (fases de ataque) 100%


La evaluación, cuando se realiza un seguimiento de los subpasos, muestra que McAfee tiene 174 subpasos con una visibilidad total del 87%.

Ir a millas de ancho

Cuando busca defender empresas, debe evaluar su cartera y asegurarse de que pueda llegar hasta el final al abarcar el punto final y su contexto diverso, así como la visibilidad de la red derivada de la actividad hostil ejecutada en el sistema de destino. Más importante aún, su cartera debe seguir de cerca al adversario a través de cadena de muerte fases (millas de ancho) para mantenerse al día con su ritmo. Cuantas más fases rastree, mejor podrá orientar sus defensas en tiempo real.

Escenario 1 – Carbanak

La emulación de Carbanak consistió en un ataque con 10 pasos principales (fases de la cadena de muerte) desde el primer día, y nuestra cartera brindó visibilidad en todas las fases. En estas 10 fases, MITRE realizó 96 subpasos emular los comportamientos alineados con los TTP conocidos atribuidos al adversario de Carbanak.

Resultados de la evaluación 3 de McAfee MITER Engenuity ATT & CK

Escenario 2 – FIN7

La emulación FIN7 consistió en un ataque con 10 pasos principales (fases de la cadena de muerte) el segundo día, y nuestra cartera brindó visibilidad en todas las fases. En estas 10 fases, MITRE realizó 78 subpasos emular los comportamientos alineados con los TTP conocidos atribuidos al adversario de FIN7.

Resultados de la evaluación 3 de McAfee MITER Engenuity ATT & CK

Profundizando los pies

El seguimiento del adversario en todas las fases del ataque (millas de ancho) es significativamente sólido, pero para ser realmente eficaz en la defensa empresarial, también debe permanecer en su modo operativo y mantenerse al día con su movimiento dentro y a través de sus sistemas a través de diferentes enfoques (pies de profundidad). En McAfee, diseñamos nuestros sensores de visibilidad en componentes defendibles anticipar dónde interactuarán los adversarios con el sistema, rastreando así sus actividades con diversas fuentes de datos (contexto) que enriquecen nuestro portafolio. Esto no solo nos permite rastrear sus intenciones, sino también descubrir resultados impactantes a medida que ejecutan acciones hostiles (subpasos).

Componentes defendibles y telemetría adquiridos durante la evaluación.

Si un producto está configurado de manera diferente, puede obtener información de cada componente defendible, pero esto representa la telemetría adquirida en función de la configuración durante la evaluación (no necesariamente evidencia de que se aceptó).

Visibilidad por fuentes de datos de McAfee / componentes defendibles

Escenario 1 – Carbanak

De El 96 Subpasos que emulan a Carbanak, nuestra cobertura de visibilidad se extiende desde más de 10 fuentes de datos únicas, incluida la interceptación automatizada de secuencias de comandos. código fuente utilizado en el ataque por nuestra integración de sandbox ATD con el tejido DXL.

Resultados de la evaluación 3 de McAfee MITER Engenuity ATT & CK

Escenario 2 – FIN7

De El 78 Pasos secundarios que emulan FIN7, nuestra cobertura de visibilidad se extiende desde más de 10 fuentes de datos únicas que brindan un contexto más amplio en fases críticas con Monitoreo de llamadas de sistemas / API para preservar la conciencia de seguridad del usuario, ya que los comportamientos avanzados apuntan a enfoques en memoria realizados por el adversario.

Resultados de la evaluación 3 de McAfee MITER Engenuity ATT & CK

Visibilidad por producto de McAfee

La adquisición de datos de los sensores es fundamental, sin embargo, para ser eficaz en los resultados de seguridad, su cartera necesita esencialmente extender su amplia cobertura de fuentes de datos para equilibrar la visibilidad de seguridad que necesitan los blue-teamers a medida que se realiza un seguimiento de la progresión del ataque en cada fase.

Esta capacidad esencial proporciona al equipo azul un equilibrio entre la conciencia contextual de las tecnologías de detección (EDR y SIEM) y la interrupción decisiva de los comportamientos impactantes de los productos de protección (ENS, DLP, ATD, NSP) orientados a neutralizar las acciones del adversario en los objetivos.
En cada fase del ataque, la protección de McAfee fusionada con productos de detección neutralizaría con éxito al adversario y brindaría a los equipos azules una rica visibilidad contextual para las investigaciones que necesitaban contexto antes y después de que hubiera ocurrido el bloqueo.

Escenario 1 – Carbanak

Resultados de la evaluación 3 de McAfee MITER Engenuity ATT & CK

Este gráfico muestra claramente cómo ENS (en modo de observación) habría evitado un ataque exitoso, bloqueando la Incumplimiento Inicial y protegiendo a los clientes de daños mayores. Para el alcance de la evaluación, también es importante señalar cómo interactuaron los productos al proporcionar telemetría en cada paso.

Escenario 2 – FIN7

Resultados de la evaluación 3 de McAfee MITER Engenuity ATT & CK

En la impactante fase de la cadena de eliminación de "robar datos de pago", el producto DLP entra en acción en la prevención, mientras se complementa con el entorno de pruebas de ATD que intercepta la carga útil que intenta robar la información, así como EDR que tiene información contextual dentro de la cadena de eliminación. para las investigaciones fuera de línea que necesita el equipo azul.

Eficacia de la visibilidad

Aquí, cubrimos los aspectos esenciales de la visibilidad y cómo determinar el poder de tener una base de telemetría sólida, no solo como sensores individuales o componentes defendibles que brindan información, sino que cuando se analizan y contextualizan, habilitamos el siguiente nivel de acción requerido para priorizar casos. con detecciones enriquecidas.

Estén atentos para la próxima serie de blogs que explica cómo las detecciones fueron compatibles con esta telemetría donde producimos 274 detecciones que tienen más de 2 fuentes de datos.





Enlace a la noticia original