MITRE Engenuity’nin yayınladığı yönetilen güvenlik hizmeti sağlayıcıları için yeni bir dizi değerlendirme, potansiyel olarak kurumsal karar vericilere bir sağlayıcı seçerken başvurmaları için kullanışlı bir kaynak sağlayabilir. MITRE ve diğerleri bu hafta, bilgiden yararlanmanın anahtarının sonuçları nasıl yorumlayacağını bilmek olduğunu söyledi.
MITRE Engenuity’nin şimdiye kadarki ilk güvenlik hizmeti sağlayıcılarının değerlendirilmesi – ürün değerlendirmeleri gibi – herhangi bir kazanan veya kaybeden, performansa dayalı herhangi bir sıralama veya bir satıcının ne kadar iyi veya kötü performans göstermiş olabileceğine dair herhangi bir gösterge sunmaz.
Bunun yerine, farklı güvenlik hizmeti sağlayıcılarının düşman davranışlarını müşterilerine nasıl analiz ettikleri ve tanımladıkları hakkında ayrıntılı bilgiler sunar. MITRE’nin değerlendirmesi, verileri onunla isteyebilecekleri herhangi bir satıcı karşılaştırması yapmak için kullanan güvenlik uzmanlarına ve ekiplerine bırakıyor.
MDR Yeteneklerine Objektif Bir Bakış
16 güvenlik hizmeti sağlayıcısından biri olan Red Canary’nin istihbarat direktörü Katie Nickels, “MITRE Engenuity’nin Yönetilen Hizmetler için ATT&CK Değerlendirmeleri, muhtemelen yönetilen hizmetler ve yönetilen algılama ve yanıt (MDR) pazarında mevcut olanların tek nesnel gösterimidir” diyor. değerlendirmeye katıldı. “Kuruluşların, bu araçların gerçekte nasıl çalıştığına dair gerçekçi bir gösteri görmelerine olanak tanıyor ve bu sonuçlar, tarafsız bir üçüncü tarafça sağlanıyor.”
Değerlendirme için MITRE Engenuity, katılan satıcıların her birine düşman algılama ve izleme araçlarını MITRE tarafından barındırılan bir Microsoft Azure ortamında dağıtma fırsatı verdi. Daha sonra bir MITRE mor ekibi, tanınmış İranlı tehdit grubu OilRig’in taktik ve tekniklerini kullanarak çevreye öykünmüş bir saldırı gerçekleştirdi.
Değerlendirmeye katılan hizmet sağlayıcılar, simüle edilen saldırının belirli bir iki haftalık dönemde iş saatleri içinde gerçekleşeceğini biliyorlardı. Ancak MITRE, onlara daha kesin zamanlama, hangi teknikleri kullanacağı veya MITRE Engenuity’nin hangi düşmana öykündüğü konusunda bilgi vermedi.
MITRE Engenuity ekibi, simüle edilmiş saldırıyı gerçekleştirirken, ilk erişim için hedef odaklı kimlik avı, kimlik bilgileri dökümü, Web kabuğu kurulumu, yanal hareket, veri hırsızlığı ve temizleme gibi yaygın olarak kullanılan düşman taktiklerini sergiledi. Satıcılar, kötü amaçlı etkinliği değerlendirmek ve hakkında rapor oluşturmak için MDR portföylerindeki araçlardan herhangi birini kullanma fırsatı buldu.
Ancak MITRE’nin kuralları, saldırıyı yanıtlamak veya engellemek için herhangi bir adım atmalarını yasakladı çünkü amaç, her bir hizmet sağlayıcının ortaya çıkan saldırıyı nasıl tespit edip analiz ettiğini ve bulgularını rapor ettiği ayrıntı ve netliği görmekti.
Sonuçları Ayrıştırmak Zor Olabilir
MITRE Engenuity’nin katılan her hizmet sağlayıcı için değerlendirme sonuçları, her birinin tüm zincir boyunca saldırıyı nasıl tespit ettiğine dair hem üst düzey hem de ayrıntılı bir görünüm sunar. Her satıcının her aşamada sağladığı analizin derinliğine, öykünme sırasında MITRE ile iletişimlerine, tespit ettikleri ve raporladıkları bireysel tekniklere ve saldırı hakkında hangi bağlam ve bilgileri sağladıklarına bir bakış sağlar.
SANS Enstitüsü’nde ortaya çıkan güvenlik trendleri direktörü John Pescatore, bu bilgilerin kendi başlarına yapacak kaynakları olmayan ve sonuçları kendileri karşılaştırmaya istekli olan yetenekli güvenlik uzmanları için çok yararlı olabileceğini söylüyor. Ancak verileri ayrıştırmanın başkaları için zor olabileceğini söylüyor.
Pescatore, “MITRE Engenuity, satıcıları değerlendirmelerinde sıralamayı kasıtlı olarak kolaylaştırmıyor” diyor. “Dolayısıyla testler, yalnızca ‘güvenli’ bir seçim yapmak veya ilk üçü birbiriyle rekabet etmek isteyen biri için yararlı değil.”
Pescatore, “Karşılaştırma yapmak için her birine bakıp kaç tane teknik vb. kapsadıklarını saymam gerekir ve bir tür sıralama elde etmem gerekir,” diyor Pescatore, “Ama bunu nasıl yaptıklarını anlamak için, bunun süreçlerime nasıl uyacağını görmek için ya satıcıdan bilgi almam ya da ürün veya hizmetle kendim oynamam gerekiyor.”
Bağlam Anahtardır
Red Canary’den Nickels, sonuçların satıcılar arasında net bir elma-elma karşılaştırması sunmamasına rağmen, meselenin bu olmadığını söylüyor. “Her sağlayıcının etkinliği algılama ve bulguları iletme biçimi farklıdır ve her kuruluşun ve güvenlik ekibinin farklı ihtiyaçları vardır” diyor.
MITRE Engenuity’nin değerlendirmesinde her satıcı tarafından sağlanan değeri anlamanın en iyi yolu, her satıcının öykünme sırasında MITRE ile nasıl iletişim kurduğu, aldıkları ekran görüntüleri ve sahip olabilecekleri analiz ve bağlam gibi niteliksel yönleri dikkate almaktır. sağlanıyorsa, şöyle diyor: “Yoğun emek gerektiren bu kaynakları incelemek, kuruluşlara her satıcı tarafından sağlanan değere ilişkin en iyi görüşü sunacaktır.”
İçinde bu hafta rapor verRed Canary ayrıca MITRE Engenuity testlerinin çok uç nokta odaklı olması ve algılama kapsamına çok fazla ağırlık vermesi ve yanıtta yeterli olmaması gibi bazı sınırlamaları olarak tanımladığı şeyin altını çizdi.
Nickels, “Test, katılımcıların birçok önleyici ve diğer güvenlik denetimlerini kapatmasını gerektirdi” diyor. “Normal koşullar altında, katılan satıcıların çoğu, MITRE’nin emülasyon faaliyetini nispeten erken tespit edip buna yanıt verirdi, böylece daha etkili, sonraki aşama faaliyetini önlerdi.”
Sonuçları yorumlarken akılda tutulması gereken diğer bir faktör, tüm katılımcı tedarikçilerin normalde MDR için kullandıkları teknolojileri kullanıp kullanmadıkları veya değerlendirme için başka bir şey kullanıp kullanmadıklarıdır. “Bu sonuçları inceleyen kuruluşların, satıcılara ortamlarının ortalama bir müşteri için normal olup olmadığını sormalarını öneriyoruz.”
MITRE Engenuity’nin Önerisi
Bir blog yazısında, MITRE Engenuity’nin ATT&CK değerlendirmelerinden sorumlu genel müdürü Ashwin Radhakrishnan, kullanıcıların sonuçları uygun bağlamda değerlendirin. Nickels’in de belirttiği gibi, MITRE, yalnızca bir tedarikçinin tek kıstas olarak tespit etmiş olabileceği tekniklerin toplam sayısına bakan kuruluşlara şiddetle tavsiye edilmektedir.
MITRE, “Teknik kapsamına ilişkin herhangi bir analize başlamadan önce, kuruluşunuzun karşı karşıya olduğu düşman grupları ve tehditlere dayalı olarak hangi tekniklerin kuruluşunuzla en alakalı olduğunu belirlemek önemlidir” dedi. Blog gönderisi, güvenlik uygulayıcılarının değerlendirme sonuçlarını yorumlaması gereken 10 yol sunuyordu.
Öneriler, değerlendirmede nasıl performans gösterdikleri konusunda üst düzey bir anlayış elde etmek için hizmet sağlayıcıların üst düzey rapor durumlarına bakmayı, hizmet sağlayıcıların bulgularını müşterilerine nasıl sunduğuna bakmayı ve hizmet sağlayıcıların doğru bir şekilde atfedilip atfedilmediğini belirlemeyi içerir. düşman (OilRig). Kullanıcıların göz önünde bulundurduğu diğer önlemlerden bazıları, hizmet sağlayıcıların herhangi bir hafifletme önlemi tavsiye edip etmediğidir; raporlarının uzunluğu; raporlarda kullanılan dilin netliği; MITRE Engenuity, değerlendirmelerle ilgili ayrıntıların kendi yayınlarında yer aldığını söyledi.