SentinelOne EDR показал рекордные результаты в тестировании MITRE ATT&CK APT29

Платформа SentinelOne показала блестящие результаты в испытаниях MITRE ATT&CK APT29 2020 года, пропустив меньше всего угроз и выдав больше всего высококачественных детектов.

Почему тесты MITRE ATT&CK заслуживает внимания?

В настоящее время MITRE — это комплексный и детально разработанный фреймворк, который позволяет оценить способность СЗИ предоставлять командам SOC полезную и значимую информацию. Чтобы оценить возможности EDR-решений по обнаружению угроз, в тестировании MITRE ATT&CK имитировалась атака APT29, хакерской группировки, действующей по крайней мере с 2008 года.

MITRE стремится содействовать развитию единого языка кибербезопасности и инновационного подхода к оценке эффективности СЗИ. Организация описывает свой фреймворк как «тщательно отобранную базу знаний и модель поведения киберпреступников, в которой отражены различные этапы процесса атаки, а также платформы, на которые они, по имеющимся сведениям, направлены». 

Ключевые слова здесь — это этапы и поведение. Когда у злоумышленника есть стратегическая цель, например, кража данных или долгосрочное использование C&C-сервера, то он будет применять несколько тактик поэтапно.

Взаимоотношение тактик, техник и процедур (TTP)

На каждом этапе злоумышленники применяют определенные техники, из которых и складывается их поведение. Техники, в свою очередь, содержат набор различных процедур. Таким образом, атакующему нужно реализовать первичную тактику (состоящую из одной или нескольких техник), за которой следует другая тактика, и так далее, пока конечная цель не будет достигнута.

Такая иерархия от обобщенных тактик до конкретных процедур называется TTP: тактики, техники и процедуры.

Результаты SentinelOne

В ходе тестирования в 2020 году, в котором участвовал 21 вендор, платформа SentinelOne показала следующие результаты:

  • Меньше всего пропущенных детектов
  • Больше всего комбинированных высококачественных детектов
  • Больше всего скорелированных детектов
  • За три дня тестирования SentinelOne автоматически сгруппировал сотни элементов данных в 11 скоррелированных алертов на консоли, предоставив тем самым результаты детектов с богатым контекстом

Как MITRE ATT&CK оценивает EDR-решения с использованием двух трехдневных сценариев атаки

Два сценария атаки, использованных в испытании MITRE ATT&CK APT29, представляют собой шесть четких шагов, которые включают в общей сложности 135 подшагов.

Первый сценарий: доставка payload (полезной нагрузки) с помощью целевого фишинга, который работает по принципу spray and pray («распространи и жди»), а затем оперативный сбор и эксфильтрация определенных типов файлов по принципу smash and grab («взломай и укради»).

Первая партия украденных данных позволяет понять ценность жертвы, и злоумышленник использует вторичный, более скрытный тулкит для дальнейшего изучения и компрометации целевой сети.

Второй сценарий: фокус на целенаправленное, методичное проникновение. Сначала развертывается специально созданная полезная нагрузка, предназначенная для тщательного изучения целевой среды перед полноценным исполнением вредоносного кода. Затем следует медленный, но методичный захват первичной цели, что в итоге приводит к захвату всего домена.

В обоих сценариях атаки используются заранее установленные в сети механизмы персистентности, которые активируются после некоторого сымитированного периода бездействия для ускорения симуляции. Каждый из этапов этих двух сценариев реализуется с помощью выбранных тактик, техник и процедур (TTP), обозначенных в фреймворке MITRE ATT&CK.

Рекордные показатели SentinelOne

SentinelOne превзошел остальные 20 вендоров, принявших участие в тестировании. На графиках ниже показано, как проявила себя платформа SentinelOne по сравнению с EDR-решениями различных вендоров по основным показателям тестирования:

Наименьшее количество пропущенных детектов

Наибольшее количество высококачественных детектов типа «Техника» и «Тактика»

Наибольшее количество скоррелированных детектов

Объединение сотен алертов в 11 детальных инцидентов

Больше данных не значит лучше. Аналитики SOC нуждаются в наглядных алертах с расставленными приоритетами, что позволит им сразу видеть все происходящее через интерактивную цепочку развития атаки.

Ниже показано, как все действия APT29, сымитированные во втором раунде тестирования MITRE ATT&CK, отображаются в консоли SentinelOne всего в 11 инцидентах. 

Наглядное описание инцидента с детализацией индикаторов взлома в консоли SentinelOne
Интерфейс среды SentinelOne в рамках тестирования MITRE ATT&CK APT29 (тестирование в 2019 году, результаты в 2020 году)

Хотите узнать больше о SentinelOne?

Закажите расчет стоимости, презентацию или тестирование SentinelOne прямо сейчас.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором инновационных решений по кибербезопасности.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/