Las pruebas exhaustivas e independientes son un recurso vital para analizar las capacidades del proveedor para protegerse contra amenazas cada vez más sofisticadas a su organización. Y tal vez ninguna evaluación sea más confiable que la anual. Evaluación MITRE Engenuity ATT&CK.
Esta prueba es fundamental para evaluar a los proveedores porque es prácticamente imposible evaluar a los proveedores de ciberseguridad en función de sus propias afirmaciones de desempeño. Junto con las verificaciones de referencias de proveedores y las evaluaciones de prueba de valor (POV), una prueba en vivo, los resultados de MITRE agregan información objetiva adicional para evaluar de manera integral a los proveedores de ciberseguridad.
Profundicemos en los resultados de la evaluación MITRE ATT&CK de 2023. En este blog, analizaremos la metodología de MITRE para probar a los proveedores de seguridad contra amenazas del mundo real, ofreceremos nuestra interpretación de los resultados e identificaremos las principales conclusiones que surgen de la evaluación de Cynet.
¿Cómo prueba MITRE Engenuity a los proveedores durante la evaluación?
La evaluación MITRE ATT&CK es realizada por MITRE Engenuity y prueba las soluciones de protección de endpoints contra una secuencia de ataque simulada basada en enfoques de la vida real adoptados por conocidos grupos de amenazas persistentes avanzadas (APT). La evaluación MITRE ATT&CK de 2023 probó 31 soluciones de proveedores emulando las secuencias de ataque de Turla, un sofisticado grupo de amenazas con sede en Rusia conocido por haber infectado a víctimas en más de 45 países.
Una advertencia importante es que MITRE no clasifica ni califica los resultados de los proveedores. En cambio, los datos de prueba sin procesar se publican junto con algunas herramientas básicas de comparación en línea. Luego, los compradores utilizan esos datos para evaluar a los proveedores en función de las prioridades y necesidades únicas de su organización. Las interpretaciones de los resultados por parte de los proveedores participantes son sólo eso: sus interpretaciones.
Entonces, ¿cómo interpretas los resultados?
Ésa es una gran pregunta, que mucha gente se hace ahora mismo. Los resultados de la evaluación MITRE ATT&CK no se presentan en un formato que muchos de nosotros estamos acostumbrados a digerir (mirándote, gráfico mágico con cuadrantes).
Y los investigadores independientes a menudo declaran «ganadores» para aligerar la carga cognitiva de determinar qué proveedores tienen el mejor desempeño. En este caso, identificar al «mejor» proveedor es subjetivo. Lo cual, si no sabe qué buscar, puede parecer una molestia si ya está frustrado al intentar evaluar qué proveedor de seguridad es el más adecuado para su organización.
Una vez emitidas estas exenciones de responsabilidad, revisemos ahora los resultados para comparar y contrastar el desempeño de los proveedores participantes con respecto a Turla.
Resumen de resultados de MITRE ATT&CK
Las siguientes tablas presentan el análisis y cálculo de Cynet de todos los resultados de las pruebas MITRE ATT&CK del proveedor para las mediciones más importantes: visibilidad general, precisión de detección y rendimiento general. Hay muchas otras formas de ver los resultados de MITRE, pero consideramos que estas son las más indicativas de la capacidad de una solución para detectar amenazas.
La visibilidad general es el número total de pasos de ataque detectados en los 143 subpasos. Cynet define la calidad de detección como el porcentaje de subpasos del ataque que incluyen «detecciones analíticas: aquellas que identifican la táctica (por qué puede estar ocurriendo una actividad) o la técnica (por qué y cómo está ocurriendo la técnica).
Además, es importante observar cómo se desempeñó cada solución antes de que el proveedor ajustara la configuración debido a que pasó por alto una amenaza. MITRE permite a los proveedores reconfigurar sus sistemas para intentar detectar amenazas que pasaron por alto o mejorar la información que proporcionan para la detección. En el mundo real no podemos darnos el lujo de reconfigurar nuestros sistemas debido a una detección deficiente o perdida, por lo que la medida más realista son las detecciones antes de que se implementen los cambios de configuración.
¿Cómo le fue a Cynet?
Según el análisis de Cynet, nuestro equipo está orgulloso de nuestro desempeño frente a Turla en la Evaluación MITRE ATT&CK de este año, superando a la mayoría de los proveedores en varias áreas clave. Aquí están nuestras principales conclusiones:
- Cynet entregó 100% de detección: (19 de 19 pasos de ataque) SIN CAMBIOS DE CONFIGURACIÓN
- Cynet entregó 100% de visibilidad: (143 de 143 subpasos de ataque) SIN CAMBIOS DE CONFIGURACIÓN
- Cynet entregó una cobertura analítica del 100%: (143 de 143 detecciones) SIN CAMBIOS DE CONFIGURACIÓN
- Cynet entregó detecciones 100% en tiempo real: (0 retrasos en las 143 detecciones)
Vea el análisis completo de Desempeño de Cynet en la Evaluación MITRE ATT&CK 2023.
Profundicemos un poco más en el análisis de Cynet de algunos de los resultados.
Cynet tuvo un desempeño superior al evaluar tanto la visibilidad como la calidad de la detección. Este análisis ilustra qué tan bien funciona una solución a la hora de detectar amenazas y proporcionar el contexto necesario para que las detecciones sean procesables. Las detecciones omitidas son una invitación a una infracción, mientras que las detecciones de mala calidad crean un trabajo innecesario para los analistas de seguridad o potencialmente provocan que se ignore la alerta, lo que nuevamente es una invitación a una infracción.
Cynet entregó 100% de visibilidad y detectó perfectamente cada uno de los 143 pasos del ataque sin cambios de configuración. El siguiente gráfico muestra el porcentaje de detecciones en los 143 subpasos del ataque antes de que los proveedores implementaran cambios de configuración. Cynet tuvo un desempeño tan bueno como el de dos empresas de seguridad muy grandes y conocidas, a pesar de ser una fracción de su tamaño y mucho mejor que algunos de los nombres más importantes en ciberseguridad.
Cynet proporcionó cobertura analítica para el 100% de los 143 pasos del ataque sin cambios de configuración. El siguiente gráfico muestra el porcentaje de detecciones que contenían información importante sobre tácticas o técnicas en los 143 subpasos del ataque, nuevamente antes de que se implementaran los cambios de configuración. Cynet tuvo un desempeño tan bueno como Palo Alto Networks, una empresa que cotiza en bolsa por valor de 76 mil millones de dólares, con 50 veces más empleados y mucho mejor que muchas marcas establecidas que cotizan en bolsa.
¿Aún tienes preguntas?
Comprensible.
En este seminario web, el director de tecnología de Cynet, Aviad Hasnis, y el vicepresidente senior de ISMG, Tom Field, revisan los resultados publicados recientemente y comparten consejos de expertos para que los líderes de ciberseguridad interpreten los resultados y encuentren el proveedor que mejor se adapte a las necesidades específicas de su organización. También compartirá más detalles sobre el desempeño de Cynet durante las pruebas y cómo eso podría traducirse en los objetivos únicos de su equipo.