Результаты тестов MITRE ATT&CK: EDR на основе ИИ превосходит традиционные EDR-подходы

Наконец-то опубликованы долгожданные результаты испытаний ATT&CK Evaluation за 2020 год. Сейчас почти все вендоры, принявшие участие в тестировании, анализируют эти результаты и интерпретируют их в пользу своего решения. Будьте внимательны при чтении подобных интерпретаций: в них могут оказаться надуманные или ловко подогнанные метрики. Ниже представлен обзор на основе сырых данных, который позволит оценить эффективность SentinelOne в тестировании.

Преимущество MITRE Engenuity ATT&CK состоит в том, что все данные испытаний находятся в открытом доступе. Для прозрачной интерпретации результатов в этой статье буду рассматриваться только показатели и метрики, опубликованные MITRE Engenuity. Таким образом, клиенты смогут убедиться в достоверности этой информации и отделить правду от вымысла. Никакой подмены показателей, никакого изобретательства.


MITRE ATT&CK

Скачайте детальный анализ и сравнение результатов тестирования MITRE Carbanak + FIN7 2020 на русском языке и узнайте, почему SentinelOne превзошел всех участников и показал самое большое количество высококачественных аналитических детектов и НОЛЬ пропусков.

Скачать PDF-обзор >>


Результаты SentinelOne в тестировании MITRE

На скриншоте ниже можно увидеть показатели SentinelOne по результатам тестирования MITRE Engenuity, вот их расшифровка:

  • Точность мониторинга 100% (детект 174 из 174 этапов атаки)
  • Лучшее покрытие аналитических детектов (159 из 174 этапов)
  • Без задержек в детекте
  • Без изменений конфигурации
Источник: MITRE Engenuity

Разберем, насколько указанные выше метрики важны для эффективной защиты. 

20 апреля 2021 года были опубликованы результаты тестирования ATT&CK, проходившего в 2020 году. В 2019 году испытание ATT&CK Evaluation было основано на атаках группировки APT3 (Gothic Panda). В 2020 году защитные решения проверяли по TTP, связанным с группировкой APT29 (Cozy Bear). В этом году в ходе испытаний имитируются атаки группировок Carbanak и FIN7, нацеленных на финансовые учреждения.

В первый день испытаний имитировалась атака Carbanak. Цель злоумышленников из группировки Carbanak — взломать компьютер HR-менеджера, и, незаметно перемещаясь по сети, найти платежные данные и украсть их. В эмуляции было задействовано 4 компьютера на Windows, один Linux-сервер и 96 техник, которые выполнялись в 10 этапов. Смотрите эмуляцию Carbanak на YouTube-канале SentinelOne.

Во второй день испытаний имитировались действия группировки FIN7. Ее целью также является кража финансовых данных. Для этой эмуляции было задействовано пять компьютеров и 78 техник, реализованных в 10 этапов.

Чтобы узнать больше о результатах SentinelOne в тестировании MITRE Engenuity ATT&CK Evaluation за 2020 год, смотрите запись вебинара на русском языке по этой ссылке.

Мониторинг — основа качественного EDR-решения

1. SentinelOne — ЕДИНСТВЕННЫЙ поставщик, обеспечивающий 100%-ный мониторинг с НУЛЕМ пропущенных обнаружений во всех протестированных операционных системах — Windows и Linux.

Фундамент эффективного EDR-решения — это его возможность собирать релевантные SecOps-данные в любом масштабе по различным ОС и облакам, при этом не пропуская ни одного события. Сегодня атаки становятся все сложнее и происходят все чаще, поэтому глубокий и обширный мониторинг — это ключевая возможность, которую должно предоставлять EDR-решение. Отсутствие пробелов в мониторинге означает отсутствие слепых зон, что позволяет во многом лишить злоумышленников возможности действовать незаметно.

Полноценный глубокий мониторинг — фундамент любого хорошего EDR-решения, потому что киберзащита невозможна без мониторинга.

По данным тестирования ATT&CK, SentinelOne не пропустил ни одного детекта в этом раунде испытаний, то есть обнаружил абсолютно все атаки на устройствах Windows и серверах Linux.

https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/Visibility.png?lossy=0&strip=1&webp=0

Качество детекта: отделяйте зерна от плевел

2. SentinelOne предоставил самые качественные аналитические детекты, которые позволяют мгновенно и автоматически получить аналитические данные о действиях злоумышленников.

Чтобы определить лучшее EDR-решение, кроме общего количества детектов следует учитывать долю аналитических детектов (количество любых детектов в категориях кроме просто Телеметрии). Большое количество аналитических категорий детекта (Тактика, Техника, Общий детект) означает более качественное обнаружение и и меньше пропущенных атак. Благодаря доступу к высокоточным и качественным детектам у организаций есть больше времени на расследование инцидентов, ведь им не нужно вести поиск по огромному массиву данных о событиях, которые по большей части оказываются ложными срабатываниями.

Детекты по Техникам и Тактикам — это ключевые показатели точности данных в тестировании ATT&CK.

https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/3-analytic-detections.jpg?lossy=0&strip=1&webp=0
  • Техника — это лучший пример релевантных данных, на основе которых можно принять решение. Такой детект предоставляет данные с контекстом, которые выстраиваются в цепочку развития атаки. Она показывает, что произошло, зачем, и самое главное, как.
  • Тактика — более низкая ступень в иерархии аналитических детектов. Она отражает категории техник, которые использует злоумышленник для достижения своих конечных целей (закрепление в сети, эксфильтрация данных, обход защиты и т. д.). Другими словами, Тактика отвечает на вопросы «‎что» и «‎зачем».

Эти два типа детектов являются основой фреймворка MITRE ATT&CK и имеют наибольшую ценность при создании контекста. В испытании MITRE Engenuity вендору SentinelOne засчитали наибольшее количество аналитических детектов по сравнению со всеми остальными участниками.

https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/Analytic_Detection_Coverage.png?lossy=0&strip=1&webp=0

Задержки детекта чреваты

3. У SentinelOne не было выявлено ни одного несвоевременного детекта, а значит, обнаружение угроз и реагирование на них происходит в реальном времени.

ВременнОй фактор критически важен как при обнаружении атаки, так и при ее нейтрализации.

Детект с задержкой, по определению MITRE Engenuity, доступен аналитикам не сразу — он может поступить в течение минут или часов после того, как злоумышленник совершил вредоносные действия.

Несвоевременный детект часто подразумевает, что для работы EDR-решения требуется анализ со стороны человека, который бы вручную подтвердил факт подозрительной активности, так как само решение не может этого сделать. Обычно такому решению нужно отправлять полученные данные команде аналитиков или сторонним сервисам, например, песочницам, которые проанализируют эти данные и отправят клиенту алерт, если это необходимо. Однако многие этапы этого процесса выполняются вручную, что дает злоумышленникам время и возможность нанести реальный ущерб.

Злоумышленники действуют быстро, и им необходимо противопоставить очень быструю автоматизированную защиту, которой не свойственна медлительность человека.

По данным тестирования ATT&CK, у SentinelOne не было ни одной задержки детекта в этом испытании.

https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/Delayed_Detections.png?lossy=0&strip=1&webp=0

Изменения конфигурации означают ненадежность продукта и проблемы с масштабированием

4. SentinelOne не потребовал изменений конфигурации во время теста, делая EDR-технологии простыми в использовании.

Согласно MITRE Engenuity, изменения конфигурации означают, что детект мог произойти только тогда, когда вендор изменил первоначальные настройки продукта.

Однако в реальных условиях у операторов SOC нет времени подкручивать настройки, особенно когда их организацию атакуют злоумышленники. Постоянная корректировка и настройка продукта означает, что вы проиграли битву, которая еще даже не началась. Во время реальной атаки операторы SOC даже не будут знать, какие изменения вносить. Без алерта у них не будет представления о том, что искать, чтобы правильно изменить конфигурацию продукта.

Технологичные решения должны работать в масштабе всей организации «‎из коробки»‎, обеспечивая мгновенную окупаемость продукта. EDR-решение SentinelOne можно развернуть за секунды и сразу же на полную мощность.

https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/Config_Changes.png?lossy=0&strip=1&webp=0

Автоматический анализ событий с технологией Storyline

5. SentinelOne сгенерировал один алерт на каждое атакованное устройство.

Спросите любого оператора SOC о его самой большой проблеме, и он, в большинстве случаев, назовет вам усталость от множества алертов. Специалисты SOС всегда с трудом выявляют индикаторы по-настоящему опасных угроз, потому что им приходится пробираться через множество ложных срабатываний. Чтобы не присылать алерт на каждую сработку телеметрии в рамках инцидента и не нагружать и без того перегруженную команду SOC, EDR-решение должно заранее устранять лишние алерты, автоматически группируя отдельные элементы данных в единый инцидент.

Благодаря технологии Storyline платформа SentinelOne объединила сотни событий атаки, происходившей в течение 48 часов, скоррелировала их в один алерт и сформировала полную цепочку развития атаки, которая представлена в виде единого инцидента на каждую атакованную машину. SentinelOne предоставляет аналитикам инсайты за считанные секунды, и им не приходится тратить часы, дни или недели на корреляцию логов и поиск связей между событиями вручную.

Благодаря этому можно сократить количество действий, выполняемых вручную, справиться с усталостью от алертов и значительно снизить требования к опыту аналитиков для работы с EDR-решением.

https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/7-Storyline.jpg?lossy=0&strip=1&webp=0
https://899029.smushcdn.com/2131410/wp-content/uploads/2021/04/8-Threats.jpg?lossy=0&strip=1&webp=0

Что значат эти результаты для вас?

Как руководителю или специалисту по ИБ, вам необходимо думать о том, как повысить уровень безопасности и сократить риски, при этом снижая нагрузку на вашу команду. Выбирайте такое EDR-решение, которое:

  • Обеспечивает мониторинг по всей сети без слепых зон
  • Автоматически коррелирует детекты, а не вынуждает аналитиков самим интерпретировать данные и вручную объединять их
  • Защищает от злоумышленников в реальном времени
  • Работает согласно ожиданиям в конфигурации по умолчанию, без необходимости постоянно изменять настройки решения
  • Предоставляет возможности точечного устранения последствий атак благодаря автоматизированным функциям отката и восстановления

Выдающиеся результаты SentinelOne в испытании ATT&CK за 2020 год в очередной раз доказывают, что целенаправленные, устремленные в будущее решения предоставляют глубокий мониторинг, автоматизацию, и скорость, которые нужны современным командам SOC для борьбы со злоумышленниками. SentinelOne показал блестящие результаты мониторинга и детекта, и, что более важно, автоматического сопоставления и корреляции данных, собирая их в проиндексированные и полные цепочки развития атаки с помощью технологии Storyline. Эта технология отличает SentinelOne от любого другого вендора на рынке ИБ.

Демо и бесплатное тестирование SentinelOne

Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/