Blog de WatchGuard

¿Qué significa para tu organización la Evaluación MITRE?

MITRE ATT&CK Engenuity emula grupos de amenazas conocidos inspirados en ciber inteligencia disponible públicamente. Las organizaciones deben usarlos para determinar qué soluciones abordan mejor sus carencias en ciberseguridad, complementan su implementación de protección existente y se ajustan a las necesidades y capacidades de su organización.

El 20 de septiembre, MITRE Engenuity publicó su resultado de la quinta ronda . Hoy, estamos orgullosos de compartir nuestros resultados en nuestro primer año de participación en esta evaluación . Esta ronda se centró en el comportamiento del adversario conocido como Turla, un conocido grupo de amenazas con sede en Rusia. Lo invitamos a explorar los resultados de los participantes en este informe técnico para comprender la evaluación y su interpretación.

La evaluación comprende dos pruebas: Detección y evaluación de prevención.

A esta evaluación presentamos WatchGuard EDR, diseñado para complementar las soluciones de protección existentes en los endpoints. WatchGuard EDR no cuenta con tecnologías preventivas como consulta al conocimiento de Inteligencia Colectiva en la Nube, detección contextual, anti-exploit, etc., que forman parte de WatchGuard EPDR. En consecuencia, los resultados de esta evaluación no reflejan nuestras capacidades de protección.

Evaluación de detección

MITRE Engenuity emula el flujo de ataque, observando la visibilidad de las soluciones evaluadas con telemetría para su posterior análisis o agregando contexto adicional a través de analítica. La telemetría o la analítica requieren que un equipo de operaciones de seguridad los procese para investigar y responder al atacante y mejorar las capacidades preventivas en el futuro, buscando una protección mejor y automatizada.

Durante la prueba, el atacante no pudo ser bloqueado en su camino. No es una prueba donde se evalúan las capacidades automatizadas de prevención, detección y respuesta. Evalúa únicamente la visibilidad del comportamiento del atacante con telemetría o identificación de la técnica MITRE ATT&CK (analítica).

Mucha gente sólo verá los resúmenes de los resultados de la detección. Sin embargo, es esencial prestar atención a otra información que ayuda a los equipos de seguridad a tomar decisiones informadas:

  • Tipo de visibilidad. La cobertura de la analítica proporciona detecciones enriquecidas que agregan contexto a través del mapeo con las técnicas de MITRE ATT&CK y descripciones de las alertas. La cobertura de telemetría es útil para los cazadores y los respondedores de incidentes que tienen que profundizar en el comportamiento de los actores de amenazas.
  • Cambios de configuración. Un modificador de "cambio de configuración" significa que el proveedor ajustó el sensor, el procesamiento de datos o la UX para mostrar la detección durante la prueba. En otras palabras, el producto no se comportó como lo hace en un entorno real.
  • Eficiencia operacional. Al diseñar una solución eficaz de seguridad para terminales, el principio fundamental es equilibrar la relación señal-ruido . En teoría, crear una solución que logre una detección del 100 % es fácil: simplemente detectando “todo”, pudiendo ser muy ruidosa y resultando en muchos falsos positivos que resolver. Por supuesto, una solución así sería casi inútil.

También te recomendamos evaluar si una cobertura del 100% de los subpasos es lo que tu organización necesita dependiendo de la capacidad de tu equipo de operaciones de seguridad y el ruido de falsos positivos que genera la solución, considerando las siguientes recomendaciones:

1. Organizaciones sin un equipo de operaciones de seguridad: 

Su estrategia de seguridad debe basarse en lo siguiente:

  • Capas de seguridad desde la red hasta el endpoint
  • Capacidades automatizadas de prevención, detección y respuesta (EPP y EDR)
  • Complementado con MDR (servicios gestionados de detección y respuesta)

2. Organizaciones con un equipo de Operación de Seguridad: 

Su estrategia de seguridad se basa en un buen equilibrio entre prevención, detección y respuesta gestionado por un equipo de operaciones de seguridad con una carga de trabajo racionalizada.

Estas organizaciones pueden verse abrumadas por soluciones ineficientes que lo detectan todo. Las soluciones EDR ruidosas generan demasiados falsos positivos que resolver y demasiadas alertas que gestionar.

3. MDR y equipos de operaciones de seguridad maduros: 

Con cazadores de amenazas y sus propia analítica de seguridad basada en telemetría detallada.

Obtén más información sobre nuestras soluciones de seguridad para endpoints, especialmente WatchGuard EPDR, nuestro enfoque de seguridad basado en capas, que incluye el servicio de aplicaciones Zero Trust y el servicio Threat Hunting, que detectan y bloquean amenazas a partir de las tecnologías EDR sin la intervención de un equipo de operaciones de seguridad. Además, te puede interesar conocer las diferencias entre WatchGuard EDR y WatchGuard EPDR.

Fuente: https://www.forrester.com/blogs/mitre-attck-evals-getting-100-coverage-is-not-as-greatk-evals-getting-100-coverage-is-not-as-great-as-your-vendor-says-it-is/