S rostoucím objemem, sofistikovaností kybernetických útoků a zvyšující se propastí v dovednostech v oblasti kybernetické bezpečnosti, se mnoho organizací obrací na služby řízené detekce a reakce (MDR). Najít správného poskytovatele MDR však může být skutečný problém. Jak zjistit, zda dokáže držet krok s dnešními sofistikovanými kybernetickými hrozbami? Právě zde přichází na řadu hodnocení MITRE, které pomáhá organizacím učinit chytřejší rozhodnutí tím, že poskytuje cenné informace o řízených službách od jedenácti různých dodavatelů. Přečtěte si přehled klíčových faktorů, které vám pomohou učinit to nejlepší rozhodnutí, s ohledem na vaše potřeby v oblasti kybernetické bezpečnosti.
The MITRE ATT&CK® Evaluations for Managed Services
V letošním ročníku MITRE Engenuity ATT&CK® Evaluations byly k posouzení jednotlivých zúčastněných dodavatelů použity vícevláknové útoky. První napodoboval taktiku a techniky útoku kyberzločinecké skupiny menuPass. Ta je známá tím, že se celosvětově orientuje na různá průmyslová odvětví a zaměřuje se na krádeže citlivých informací, jako je duševní vlastnictví. Útoky jsou známé tím, že využívají techniky "living-off-the-land", aby se vyhnuly odhalení, a využívají vztahů s třetími stranami ke krádeži pověření.
Druhý z nich využíval ransomware BlackCat, napsaný v jazyce RUST. Tento ransomware je agnostický vůči operačním systémům a je schopen útočit na systémy Windows a Linux v různých odvětvích. BlackCat je navržen tak, aby narušoval obranu systému, šifroval data a bránil procesům obnovy. Oba scénáře představují adekvátní příklady typů útoků, které se zaměřují na současné společnosti.
Výsledky
Ačkoli je pro nás dosažení dobrého výsledku v hodnocení MITRE MDR rozhodně důvodem k hrdosti, jediné skóre nemůže vystihnout celý příběh. Tato hodnocení jsou cenná zejména proto, že se zabývají celou řadou vzájemně propojených ukazatelů, které poskytují diferencovanější obraz o schopnostech dodavatele. Je však důležité posuzovat údaje v kontextu, protože někteří dodavatelé se mohou rozhodnout zaměřit se na konkrétní metriky tak, aby to pro ně bylo výhodné.
Představíme vám klíčové ukazatele z našeho hodnocení MITRE Managed Services, a vysvětlíme, co pro vás znamenají. Prozkoumáme také některé kvalitativní aspekty, jako je styl reportování, které lze vyčíst z komunikace s dodavatelem, poskytnuté organizací MITRE. Tento přístup vám pomůže pochopit, jak se naše výkony promítají do vašich konkrétních bezpečnostních potřeb.
OBRÁZEK 1: V tabulce jsou uvedeny výsledky všech dodavatelů v hodnocených kategoriích.
Vidět vše
Hodnocení MITRE posuzuje řešení MDR dodavatele v řadě 43 dílčích kroků, které představují různé fáze taktiky a techniky útočníků. Pro každý dílčí krok se měří 3 klíčové úrovně:
Viditelnost: Určuje, zda řešení dodavatele dokáže shromáždit dostatek dat, aby bylo možné identifikovat, že k určitému dílčímu kroku došlo. Je to v podstatě test schopnosti platformy vidět aktivitu útočníka.
100% pokrytí: Naše řešení dokáže efektivně shromažďovat data pro identifikaci všech 43 dílčích kroků v rámci taktik a technik útočníka. To je velmi dobrý výsledek, který dokazuje schopnost naší platformy "vidět" aktivity útočníků v celém spektru hodnocení.
Reportování: Zde hodnocení přesahuje pouhé odhalení nějaké aktivity. Zjišťuje se, zda dodavatel dokáže dílčí krok nejen identifikovat, ale také nahlásit. Toto hlášení však může postrádat konkrétní podrobnosti nebo kontext, což ztěžuje přijetí okamžitých opatření.
95% pokrytí: I zde je naše skóre působivé a překračuje průměr 80% pokrytí. To znamená, že naše řešení dokáže nejen identifikovat většinu dílčích kroků (41 ze 43), ale také je nahlásit. I když tato hlášení mohou postrádat konkrétní podrobnosti, podtrhuje to naši schopnost odhalovat podezřelé aktivity.
Nahlášení: Toto je ideální scénář. Dodavatel nejenže zjistí a nahlásí dílčí krok, ale poskytne také další informace, jako jsou časové značky, lokalizace, zapojení uživatelé a povaha aktivity. Tento bohatší kontext umožňuje informovanější a účinnější reakci.
93% pokrytí: Jsme hrdí na to, že jsme dosáhli nejvyššího skóre v oblasti "Reported - actionable" ve srovnání s průměrem 65 %. Toto skóre poukazuje na naši výjimečnou schopnost nejen odhalit a nahlásit dílčí kroky, ale také poskytnout nejcennější kontext, včetně časových značek, lokací, zapojených uživatelů a povahy aktivity. Díky tomu může váš bezpečnostní tým podniknout rychlé a rozhodné kroky k potlačení hrozeb.
Poté, co jsme vytvořili pevný základ pro detekci aktivity útočníků, se nyní podíváme na to, jak efektivně můžeme detekci přeměnit v akci. Zde přichází na řadu střední doba do odhalení (MTTD).
Rychlá reakce, kvalifikovaná rozhodnutí
Střední doba do odhalení (MTTD) měří průměrnou dobu, za kterou poskytovatel zabezpečení identifikuje a upozorní na potenciální aktivitu útočníka. Nižší hodnota MTTD obecně znamená rychlejší detekci a schopnost reakce. Bitdefender dosáhl průměrné doby MTTD 24 minut, což je výrazně rychleji než průměrná doba odezvy 42 minut.
Zaměřujeme se na nalezení rovnováhy mezi včasnou detekcí a minimalizací zbytečného šumu. Naší prioritou je poskytovat vysoce přesná upozornění, která poskytují užitečné informace a umožňují vašemu bezpečnostnímu týmu efektivně reagovat na skutečné hrozby. Je důležité posuzovat MTTD ve spojení s dalšími ukazateli, zejména s objemem generovaných výstrah - neboli šumem.
Minimalizace šumu, maximální efektivita
Kritickým aspektem každého řešení MDR je jeho schopnost rozlišovat mezi skutečnými hrozbami a irelevantním šumem. Bezpečnostní týmy jsou často zahlceny obrovským množstvím výstrah, což ztěžuje soustředění na nejkritičtější problémy.
V hodnoceních MITRE MDR tým Bitdefender MDR upřednostnil rovnováhu mezi minimalizací šumu a zachováním vysoké věrnosti výstrah. Zatímco někteří dodavatelé generovali objemy výstrah v řádu stovek nebo dokonce tisíců, Bitdefender MDR produkoval výrazně nižší počet výstrah ve srovnání s průměrem daného odvětví (130 e-mailů a 389 konzolových výstrah).
Zde jsou informace o tom, co to pro vás znamená:
Snížení únavy z výstrah: Naše řešení pomáhá bezpečnostním týmům vyhnout se informačnímu přetížení tím, že předkládá menší objem výstrah (54 e-mailů a 28 výstrah na konzoli). To jim umožňuje zaměřit pozornost na nejdůležitější hrozby.
Stanovení priorit pro události s vysokou závažností: Náš důraz na spolehlivost zajišťuje, že značná část našich výstrah (77 % e-mailů) je klasifikována jako kritická nebo vysoce závažná, což zajišťuje, že bezpečnostní týmy mohou upřednostnit nejvýznamnější hrozby.
Praktické poznatky: Kvantita se nerovná kvalitě. V každém upozornění upřednostňujeme poskytování jasných a stručných informací, které bezpečnostním týmům umožňují podniknout rozhodné kroky ke zmírnění identifikovaných hrozeb.
Závěr
Hodnocení MITRE MDR ukazuje silné stránky Bitdefender MDR: výjimečnou detekci hrozeb, využitelné poznatky (nejvyšší hodnota mezi účastníky v kategorii "Reported-actionable") a snahu o minimalizaci únavy z upozornění. To se promítá do výkonného řešení, které umožňuje bezpečnostním týmům soustředit se na to nejdůležitější - efektivně reagovat na skutečné hrozby a udržet organizace v bezpečí.
OBRÁZEK 2: Bitdefender MDR dosáhl nejvyššího skóre použitelnosti při minimalizaci šumu.
Chcete se dozvědět více? Připojte se k našemu nadcházejícímu webináři s analytiky SOC a bezpečnostními specialisty Bitdefenderu, který proběhne ve středu 26.června v 16:00 (webinář bude probíhat v anglickém jazyce). Budou se zabývat rozborem hodnocení MDR provedeného organizací MITRE, podrobně rozeberou naše výsledky a zodpoví všechny vaše dotazy týkající se našeho přístupu k MDR. Jedná se o technický hloubkový ponor (nikoli o marketingovou akci) a příležitost dozvědět se informace přímo z první linie detekce hrozeb a reakcí na ně.
AUTOR
 | Martin Zugec Martin je ředitelem technických řešení ve společnosti Bitdefender. Je vášnivým bloggerem a řečníkem, který se již více než dvacet let věnuje podnikovému IT. Miluje cestování, žil v Evropě, na Blízkém východě a nyní pobývá na Floridě. |
Comments