Organizacja MITRE przeprowadza ewaluacje ATT&CK

Organizacja MITRE poddała testom nasze rozwiązania w ramach ewaluacji APT29. Na czym polega ten test, dlaczego i w jaki sposób jest przeprowadzany, a także jak odczytywać wyniki?

MITRE to nie tylko firma porównująca rozwiązania zabezpieczające. To organizacja non-profit, której misją jest tworzenie bezpieczniejszego świata. Każda osoba, która ma jakiekolwiek pojęcie o świecie cyberbezpieczeństwa, wie, co to są bazy Common Vulnerabilities and Exposures (CVE). Jakiś czas temu firma utworzyła matryca zagrożeń MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge).

Co to jest MITRE ATT&CK?

MITRE ATT&CK to otwarta baza wiedzy, która porównuje techniki użyte w atakach ukierunkowanych różnych ugrupowań. Dane są prezentowane w postaci matrycy, która pokazuje, w jaki sposób atakujący przedostają się i przedostają się do infrastruktury firmowej, jakich sztuczek używają w celu pozostania w ukryciu itp. Chociaż jest to matryca zagrożeń dla korporacji, organizacja MITRE pracuje również nad analogicznymi rozwiązaniami obejmującymi taktyki, które są wykorzystywane przez cyberprzestępców do atakowania urządzeń mobilnych i przemysłowych systemów sterowania.

Jednak MITRE ATT&CK to nie tylko gromadzenie informacji dla samej wiedzy. Jej zadaniem jest także upraszczanie procesu tworzenia modeli zagrożeń dla różnych branż, które mogą zostać użyte do określenia znanych zagrożeń, jakie potrafią wykrywać konkretne rozwiązania czy zestaw rozwiązań. Teoretycznie odbywa się to w następujący sposób: firma poszukująca rozwiązania do ochrony swojej infrastruktury dopasowuje możliwości każdego kandydata w matrycy ATT&CK, aby dowiedzieć się, które zagrożenia pozostaną bez pokrycia. Przypomina to grę w bingo. W praktyce, aby zrozumieć, które zagrożenia rozpoznaje dany produkt zabezpieczający, MITRE przeprowadza testy oceniające o nazwie ATT&CK.

Jak działa ewaluacja ATT&CK

Badacze z firmy MITRE wybierają znane ugrupowanie APT i na przestrzeni kilku dni emulują ataki w środowisku testowym odpowiadającym testowanemu rozwiązaniu — oczywiście nie przeprowadzają identycznej replikacji ataków, które już miały miejsce, lecz modyfikują poszczególne narzędzia ataku, aby dowiedzieć się, w jaki sposób rozwiązanie wykrywa różne techniki ataku podczas różnych faz. Podczas przeprowadzania oceny mechanizmy reagowania są wyłączone (w przeciwnym razie niektórych faz nie można byłoby przetestować).

Bieżąca runda testów nosi nazwę APT29 Evaluation. Badacze emulują działania ugrupowania APT29, znanego również jako CozyDuke, Cozy Bear i The Dukes. Szczegółowy artykuł opisujący ocen ATT&CK znajduje się na tej stronie.

Przetestowane produkty i efekty

Podczas ostatniej rundy sprawdzone zostało nasze rozwiązanie Kaspersky Endpoint Detection and Response oraz usługa Kaspersky Managed Protection. Szczegóły znajdziecie w tym artykule.

Nasze rozwiązanie zademonstrowało wysoki poziom kluczowej techniki wykrywania w najważniejszych etapach współczesnych ataków ukierunkowanych — w szczególności w fazach Execution, Persistence, Privilege Escalation i Lateral Movement. Szczegóły wyników ewaluacji i inne materiały związane z ATT&CK znajdziecie na naszej stronie firmowej.

Porady