Kapsamlı, bağımsız testler, bir sağlayıcının, giderek daha karmaşık hale gelen tehditlere karşı bir kuruluşu koruma yeteneklerini analiz etmek için hayati bir kaynaktır. Ve belki de hiçbir değerlendirme yıllık MITRE Engenuity ATT&CK Değerlendirmesi kadar yaygın olarak güvenilir değildir.
Bu test, satıcıların değerlendirilmesi açısından kritik öneme sahiptir çünkü siber güvenlik sağlayıcılarını kendi performans iddialarına göre değerlendirmek neredeyse imkansızdır. Satıcı referans kontrolleri ve değer kanıtı (POV) değerlendirmelerinin (canlı bir deneme) yanı sıra, MITRE sonuçları siber güvenlik sağlayıcılarını bütünsel olarak değerlendirmek için ek nesnel girdiler sağlar.
Bu makale, MITRE’nin güvenlik sağlayıcılarını gerçek dünyadaki tehditlere karşı test etmeye yönelik metodolojisini ortaya koyuyor, Cynet’in 2023 MITRE ATT&CK Değerlendirme sonuçlarına ilişkin yorumunu sunuyor ve değerlendirmemizden ortaya çıkan en önemli çıkarımları belirliyor.
MITRE Engenuity, Değerlendirme Sırasında Satıcıları Nasıl Test Ediyor?
MITRE ATT&CK Değerlendirmesi, MITRE Engenuity tarafından gerçekleştirilir ve uç nokta koruma ürünlerini, iyi bilinen gelişmiş kalıcı tehdit (APT) grupları tarafından benimsenen gerçek hayattaki yaklaşımlara dayanan simüle edilmiş bir saldırı dizisine karşı test eder. 2023 MITRE ATT&CK Değerlendirmesi, 45’ten fazla ülkede kurbanlara virüs bulaştırdığı bilinen, Rusya merkezli karmaşık bir tehdit grubu olan Turla’nın saldırı dizilerini taklit ederek 31 tedarikçi çözümünü test etti.
Önemli bir uyarı, MITRE’nin satıcı sonuçlarını sıralamaması veya puanlamamasıdır. Bunun yerine ham test verilerini bazı temel çevrimiçi karşılaştırma araçlarıyla birlikte yayınlar. Alıcılar bu verileri, satıcıları kuruluşlarının benzersiz önceliklerine ve ihtiyaçlarına göre değerlendirmek için kullanabilir. Katılımcı satıcıların sonuçlara ilişkin yorumları tam da budur; onların yorumları.
Sonuçlar Ne Anlama Geliyor?
Bu harika bir soru; şu anda pek çok insanın kendisine sorduğu bir soru. MITRE ATT&CK Değerlendirme sonuçları pek çok kişinin sindirmeye alışık olduğu bir formatta sunulmuyor (size bakmak, çeyrek daireli sihirli grafik).
Birçok bağımsız araştırmacı, hangi satıcıların en iyi performansı gösterdiğini anlamanın bilişsel yükünü hafifletmek için “kazananları” ilan ediyor. MITRE’nin durumunda “en iyi” satıcının belirlenmesi özneldir. Ne arayacağınızı bilmiyorsanız, hangi güvenlik sağlayıcısının kuruluşunuz için en uygun olduğunu değerlendirmeye çalışmaktan zaten bıkmışsanız, bu size güçlük gibi gelebilir.
Bu sorumluluk reddi beyanlarının yayınlanmasıyla, katılımcı satıcıların Turla’ya karşı nasıl performans gösterdiğini karşılaştırmak ve karşılaştırmak için sonuçları gözden geçireceğim.
MITRE ATT&CK Sonuçlarını Nasıl Yorumluyorsunuz?
Katılımcı satıcıların sonuçlarını incelerken dikkate alınması gereken en önemli ölçümler genel görünürlük ve algılama kalitesidir. MITRE sonuçlarına bakmanın birçok başka yolu vardır, ancak bunların, bir çözümün tehditleri doğru ve etkili bir şekilde tespit etme yeteneğinin en göstergesi olduğunu düşünüyoruz.
Tehdit Görünürlüğü
Tehditleri tespit etme yeteneği, uç nokta koruma çözümünün temel ölçüsüdür. MITRE ATT&CK dizisi boyunca saldırı adımlarını tespit etmek, organizasyonun korunması açısından kritik öneme sahiptir. Herhangi bir adımın atlanması, saldırının genişlemesine ve sonuçta bir ihlale veya başka zararlı sonuçlara yol açmasına neden olabilir. Turla saldırı dizisi, 143 alt adıma ayrılmış 19 adım üzerinden gerçekleştirildi. Görünürlük, 143 olası olasılıktan tespitlerin sayısı veya kesridir.
Önemli bir not: MITRE, satıcıların gözden kaçırdıkları tehditleri tespit etmek veya tespit için sağladıkları bilgileri iyileştirmek amacıyla sistemlerini yeniden yapılandırmalarına olanak tanır. Böyle bir durumda rapor, algılamanın yapılandırma değişiklikleriyle gerçekleştiğini belirtir. Gerçek dünyada, tespitleri kaçırma ve ardından sistemlerimizi yeniden yapılandırma lüksüne sahip değiliz; bu nedenle, konfigürasyon değişikliği değiştiricisi olmadan yapılan tespitler daha anlamlı ölçümdür. Satıcı topluluğunun MITRE ATT&CK Değerlendirme sonuçlarını incelediğinizde, yapılandırma değişikliklerini içermeyen algılama sayımlarına öncelik verin.
Analitik Tespitler
Analitik tespitler, tespitle ilişkili taktiği (bir aktivitenin neden gerçekleştiğini) veya tekniği (tekniğin hem neden hem de nasıl gerçekleştiğini) tanımlar. Bu ayrıntılar yalnızca bir uyarıyı araştıran güvenlik analistleri için çok yararlı olmakla kalmaz, aynı zamanda gerçek tehditlere karşı hatalı pozitif uyarıları da gösterir.
Satıcılar, Turla saldırı dizisinde uygulanan 143 adımın her biri için analitik bilgi (taktik veya teknik) sağlamamış olabilir. Yine, analitik bilgileri herhangi bir konfigürasyon değişikliği uygulanmadan önce ölçmek en iyisidir.
Grafik Görünürlüğü ve Algılama Kalitesi
Bu analiz, çözümlerin tehditleri tespit etmede ve tespitleri eyleme geçirilebilir hale getirmek için gerekli bağlamı sağlamada ne kadar başarılı olduğunu göstermektedir. Kaçırılan tespitler bir ihlale davetiye oluştururken, düşük kaliteli tespitler güvenlik analistleri için gereksiz iş yaratır veya potansiyel olarak uyarının göz ardı edilmesine neden olur ki bu da yine bir ihlal davetidir. Bu grafik, her satıcının en önemli iki ölçümde nerede puan aldığını hızlı bir şekilde gösterir.
Hala sorularınız mı var?
Anlaşılabilir. Cynet, 20 Eylül Çarşamba günü, yeni açıklanan sonuçları gözden geçirmek ve siber güvenlik liderlerinin, kuruluşlarının özel ihtiyaçlarına en uygun tedarikçiyi bulmaları için sonuçları yorumlamaları için uzman tavsiyelerini paylaşmak üzere bir web seminerine ev sahipliği yapıyor. Cynet CTO’su Aviad Hasnis ve ISMG Kıdemli Başkan Yardımcısı, Editör Tom Field da MITRE ATT&CK testleri ve sonuçları hakkında daha fazla ayrıntı paylaşacak. Ayrıca 2023 MITRE ATT&CK Değerlendirme sonuçlarına ilişkin tam analizimizi inceleyebilirsiniz.
yazar hakkında
George Tubin, Cynet’te Ürün Stratejisi Direktörüdür ve siber suçların önlenmesi, dijital bankacılık ve ödeme güvenliği konularında tanınmış bir uzmandır. Daha önce Socure’da Pazarlamadan Sorumlu Başkan Yardımcısı ve önde gelen finansal hizmetler araştırma şirketi TowerGroup’ta (Gartner tarafından satın alındı) Kıdemli Araştırma Direktörü olarak görev yaptı ve burada önde gelen finansal hizmet kurumlarına, teknoloji sağlayıcılarına ve iş stratejileri, teknolojiler ve danışmanlık hizmetlerine fikir liderliği ve içgörüler sundu. siber güvenlik ve kimlik ve dolandırıcılık yönetimi.