Kapsamlı, bağımsız testler, sağlayıcının kuruluşlarına yönelik giderek daha karmaşık hale gelen tehditlere karşı koruma sağlama yeteneklerini analiz etmek için hayati bir kaynaktır. Ve belki de hiçbir değerlendirme yıllık MITRE Engenuity ATT&CK Değerlendirmesi kadar yaygın olarak güvenilir değildir.
Bu test, satıcıların değerlendirilmesi açısından kritik öneme sahiptir çünkü siber güvenlik sağlayıcılarını kendi performans iddialarına göre değerlendirmek neredeyse imkansızdır. Satıcı referans kontrolleri ve canlı deneme olan değer kanıtı değerlendirmelerinin (POV) yanı sıra, MITRE sonuçları siber güvenlik sağlayıcılarını bütünsel olarak değerlendirmek için ek nesnel girdiler sağlar.
2023 MITRE ATT&CK Değerlendirme sonuçlarına dalalım. Bu blogda, güvenlik sağlayıcılarını gerçek dünyadaki tehditlere karşı test etmek için MITRE’nin metodolojisini açıklayacağız, sonuçlara ilişkin yorumumuzu sunacağız ve Cynet’in değerlendirmesinden ortaya çıkan en önemli çıkarımları belirleyeceğiz.
MITRE Engenuity, değerlendirme sırasında satıcıları nasıl test ediyor?
MITRE ATT&CK Değerlendirmesi, MITRE Engenuity tarafından gerçekleştirilir ve uç nokta koruma çözümlerini, iyi bilinen gelişmiş kalıcı tehdit (APT) grupları tarafından benimsenen gerçek hayattaki yaklaşımlara dayanan simüle edilmiş bir saldırı dizisine karşı test eder. 2023 MITRE ATT&CK Değerlendirmesi, 45’ten fazla ülkede kurbanlara virüs bulaştırdığı bilinen, Rusya merkezli karmaşık bir tehdit grubu olan Turla’nın saldırı dizilerini taklit ederek 31 tedarikçi çözümünü test etti.
Önemli bir uyarı, MITRE’nin satıcı sonuçlarını sıralamaması veya puanlamamasıdır. Bunun yerine ham test verileri bazı temel çevrimiçi karşılaştırma araçlarıyla birlikte yayınlanır. Alıcılar daha sonra bu verileri, satıcıları kuruluşlarının benzersiz önceliklerine ve ihtiyaçlarına göre değerlendirmek için kullanır. Katılımcı satıcıların sonuçlara ilişkin yorumları tam da budur; onların yorumları.
Peki sonuçları nasıl yorumluyorsunuz?
Bu harika bir soru; şu anda pek çok insanın kendisine sorduğu bir soru. MITRE ATT&CK Değerlendirme sonuçları çoğumuzun sindirmeye alışık olduğu bir formatta sunulmuyor (size bakmak, çeyrek daireli sihirli grafik).
Bağımsız araştırmacılar, hangi satıcıların en iyi performansı gösterdiğini anlamanın bilişsel yükünü hafifletmek için sıklıkla “kazananlar” ilan ederler. Bu durumda “en iyi” satıcıyı belirlemek özneldir. Ne arayacağınızı bilmiyorsanız, hangi güvenlik sağlayıcısının kuruluşunuz için en uygun olduğunu değerlendirmeye çalışmaktan zaten bıkmışsanız, bu size güçlük gibi gelebilir.
Bu sorumluluk reddi beyanları yayınlandıktan sonra, katılımcı satıcıların Turla’ya karşı nasıl performans gösterdiğini karşılaştırmak için şimdi sonuçları kendimiz inceleyelim.
MITRE ATT&CK Sonuç Özeti
Aşağıdaki tablolarda Cynet’in en önemli ölçümler için satıcının tüm MITRE ATT&CK test sonuçlarına ilişkin analizi ve hesaplaması sunulmaktadır: Genel Görünürlük, Algılama Doğruluğu ve Genel Performans. MITRE sonuçlarına bakmanın birçok başka yolu vardır, ancak bunların, bir çözümün tehditleri tespit etme yeteneğinin en göstergesi olduğunu düşünüyoruz.
Genel Görünürlük, 143 alt adımın tamamında tespit edilen saldırı adımlarının toplam sayısıdır. Cynet, Tespit Kalitesini, “Analitik Tespitler – taktiği (bir aktivitenin neden gerçekleştiğini) veya tekniği (tekniğin hem neden hem de nasıl gerçekleştiğini) tanımlayanları içeren saldırı alt adımlarının yüzdesi olarak tanımlar.
Ek olarak, satıcının bir tehdidin eksik olması nedeniyle yapılandırma ayarlarını değiştirmesinden önce her çözümün nasıl performans gösterdiğine bakmak da önemlidir. MITRE, satıcıların kaçırdıkları tehditleri tespit etmeye veya tespit için sağladıkları bilgileri iyileştirmeye çalışacak şekilde sistemlerini yeniden yapılandırmalarına olanak tanır. Gerçek dünyada, kaçırılan veya zayıf tespit nedeniyle sistemlerimizi yeniden yapılandırma lüksümüz yoktur; bu nedenle, konfigürasyon değişiklikleri uygulanmadan önce yapılan tespitler daha gerçekçi bir önlemdir.
Cynet nasıldı?
Cynet’in analizine göre ekibimiz, bu yılki MITRE ATT&CK Değerlendirmesinde Turla’ya karşı gösterdiğimiz performanstan gurur duyuyor ve birçok önemli alanda satıcıların çoğundan daha iyi performans gösteriyor. İşte en iyi çıkarımlarımız:
- Cynet, HİÇBİR YAPILANDIRMA DEĞİŞİKLİĞİ olmadan %100 Tespit sağladı: (19 saldırı adımından 19’u)
- Cynet, HİÇBİR YAPILANDIRMA DEĞİŞİKLİĞİ olmadan %100 Görünürlük sağladı: (143 saldırı alt adımından 143’ü)
- Cynet %100 Analitik Kapsam sağladı: (143 tespitten 143’ü) YAPILANDIRMA DEĞİŞİKLİĞİ YOK
- Cynet %100 Gerçek Zamanlı Tespitler sağladı: (143 tespitin tamamında 0 Gecikme)
Cynet’in performansının tam analizini 2023 MITRE ATT&CK Değerlendirmesinde görün.
Cynet’in bazı sonuçlara ilişkin analizine biraz daha derinlemesine bakalım.
Cynet, hem görünürlük hem de algılama kalitesini değerlendirirken en iyi performansı gösterenlerdendi. Bu analiz, bir çözümün tehditleri tespit etmede ve tespitleri eyleme geçirilebilir hale getirmek için gerekli bağlamı sağlamada ne kadar başarılı olduğunu gösterir. Kaçırılan tespitler bir ihlale davetiye oluştururken, düşük kalitedeki tespitler güvenlik analistleri için gereksiz iş yaratır veya potansiyel olarak uyarının göz ardı edilmesine neden olur ki bu da yine bir ihlale davetiyedir.
Cynet %100 görünürlük sağladı ve hiçbir yapılandırma değişikliği yapmadan 143 saldırı adımının her birini mükemmel bir şekilde tespit etti. Aşağıdaki grafik, satıcılar yapılandırma değişikliklerini uygulamadan önce 143 saldırı alt adımının tamamındaki algılama yüzdesini göstermektedir. Cynet, kendilerinden küçük olmasına ve siber güvenlik alanındaki en büyük isimlerden çok daha iyi olmasına rağmen çok büyük, tanınmış iki güvenlik şirketi kadar iyi performans gösterdi.
Cynet, hiçbir yapılandırma değişikliği kullanmadan 143 saldırı adımının %100’ü için analitik kapsam sağladı. Aşağıdaki grafik, yine konfigürasyon değişiklikleri uygulanmadan önce, 143 saldırı alt adımı boyunca önemli taktik veya teknik bilgiler içeren tespitlerin yüzdesini göstermektedir. Cynet, 76 milyar dolarlık halka açık bir şirket olan ve 50 kat daha fazla çalışana sahip olan ve pek çok yerleşik, halka açık markadan çok daha iyi olan Palo Alto Networks kadar iyi performans gösterdi.
Hala sorularınız mı var?
Anlaşılabilir.
Bu web seminerinde, Cynet CTO’su Aviad Hasnis ve ISMG Kıdemli Başkan Yardımcısı Tom Field, yakın zamanda yayınlanan sonuçları gözden geçiriyor ve siber güvenlik liderlerinin, kuruluşlarının özel ihtiyaçlarına en iyi uyan satıcıyı bulmaları için sonuçları yorumlamaları için uzman tavsiyelerini paylaşıyor. Ayrıca Cynet’in testler sırasındaki performansı ve bunun takımınızın benzersiz hedeflerine nasıl yansıyabileceği hakkında daha fazla ayrıntı paylaşacak.