Blog WatchGuard

Cosa significa la valutazione MITRE per la tua azienda?

MITRE ATT&CK Engenuity emula gruppi di minacce noti ispirandosi alla cyber intelligence disponibile al pubblico. Le aziende dovrebbero utilizzarli per determinare quali soluzioni colmano meglio le lacune nella sicurezza informatica, integrano l'implementazione della protezione esistente e si adattano alle esigenze e alle capacità della propria realtà.

Il 20 settembre MITRA Engenuity ha pubblicato il risultato del quinto round. Oggi siamo orgogliosi di condividere i risultati ottenuti nel nostro primo anno di partecipazione a questa valutazione. Questo round si è concentrato sul comportamento dell'avversario noto come Turla, un noto gruppo di minacce cyber con sede in Russia. Ti invitiamo a esplorare i risultati dei partecipanti in questo white paper per comprenderne la valutazione e l’interpretazione.

La valutazione comprende due test: rilevamento e prevenzione.

A questa valutazione è stato presentato WatchGuard EDR, progettato per integrare le soluzioni di protezione degli endpoint esistenti. WatchGuard EDR non dispone di tecnologie preventive come query di conoscenza dell'intelligenza collettiva nel cloud, rilevamento contestuale, anti-exploit, ecc., che fanno parte di WatchGuard EPDR. Di conseguenza, i risultati di questa valutazione non riflettono totalmente le nostre capacità di protezione.

Valutazione del rilevamento

MITRE Engenuity emula il flusso di attacco, osservando la visibilità delle soluzioni valutate con la telemetria per ulteriori analisi o aggiungendo ulteriore contesto tramite l'analisi. La telemetria o l'analisi richiedono l'elaborazione da parte di un team operativo di sicurezza per indagare e rispondere all'attacco e migliorare le capacità preventive in futuro, cercando una protezione migliore e automatizzata.

Durante il test l'attaccante non poteva essere bloccato sul suo cammino. Non è un test in cui vengono valutate le capacità automatizzate di prevenzione, rilevamento e risposta. Valuta solo la visibilità sul comportamento dell'attaccante con la telemetria o l'identificazione della tecnica MITRE ATT&CK (analytics).

In molti considereranno solo i riepiloghi dei risultati del rilevamento. Tuttavia, è essenziale prestare attenzione ad altre informazioni che aiutano i team di sicurezza a prendere decisioni informate:

  • Tipo di visibilità. La copertura analitica fornisce rilevamenti avanzati che aggiungono contesto critico attraverso la mappatura delle tecniche MITRE ATT&CK e le descrizioni degli avvisi. La copertura telemetrica è utile per gli hunters e gli addetti alla risposta agli incidenti che devono approfondire il comportamento degli autori delle minacce.
  • Modifiche alla configurazione. Un modificatore  "Config change" significa che il vendor ha modificato il sensore, l'elaborazione dei dati o l'UX per visualizzare il rilevamento durante il test. In altre parole, il prodotto non si è comportato come in un ambiente reale.
  • Efficienza operativa. Quando si progetta una soluzione efficace per la sicurezza degli endpoint, il principio chiave è bilanciare il rapporto segnale-rumore. In teoria, creare una soluzione che raggiunga il rilevamento del 100% è semplice: è sufficiente rilevare “tutto”, il che può essere molto rumoroso e comportare molti falsi positivi da risolvere. Naturalmente una soluzione del genere sarebbe quasi inutile.

Consigliamo inoltre di valutare se la copertura del 100% dei passaggi secondari è ciò di cui la tua azienda ha bisogno in base alla capacità del tuo team operativo di sicurezza e al rumore di falsi positivi generato dalla soluzione, considerando le seguenti raccomandazioni:

  1. Organizzazioni senza un team operativo di sicurezza. La tua strategia di sicurezza dovrebbe basarsi su quanto segue:
  • Livelli di sicurezza dalla rete all'endpoint
  • Funzionalità automatizzate di prevenzione, rilevamento e risposta (EPP ed EDR).
  • Integrazione con MDR (servizi gestiti di rilevamento e risposta)
  1. Organizzazioni con un team operativo di sicurezza. La tua strategia di sicurezza si basa su un buon equilibrio tra prevenzione, rilevamento e risposta gestiti da un team operativo di sicurezza con un carico di lavoro semplificato.Queste organizzazioni possono essere sopraffatte da soluzioni inefficienti e omnicomprensive. Le soluzioni EDR rumorose creano troppi falsi positivi da risolvere e troppi avvisi da gestire.

     
  2. MDR e team operativi di sicurezza maturi con threat hunters e proprie analisi di sicurezza basate su telemetria dettagliata.

Scopri di più sulle nostre soluzioni di sicurezza degli endpoint, in particolare WatchGuard EPDR, il nostro approccio alla sicurezza a più livelli, tra cui Zero Trust Application Service e Threat Hunting Service, che rilevano e bloccano le minacce provenienti dalle tecnologie EDR senza l'intervento di un team operativo di sicurezza. Inoltre, potresti essere interessato a conoscere le differenze tra WatchGuard EDR e WatchGuard EPDR.

Fonte: https://www.forrester.com/blogs/mitre-attck-evals-getting-100-coverage-is-not-as-great-as-your-vendor-says-it-is/