MITRE Engenuity ATT&CK® vertinimuose išbandytos ESET aptikimo ir reagavimo galimybės

Kitas straipsnis

Pasaulinė kibernetinio saugumo lyderė ESET paskelbė apie ESET Inspect (anksčiau - ESET Enterprise Inspector) dalyvavimą ketvirtajame MITRE Engenuity ATT&CK® įmonių vertinimo etape. Šiame ATT&CK Evaluations etape buvo imituojamos Wizard Spider ir Sandworm grėsmių grupės, renkami rezultatai iš 30 dalyvaujančių tiekėjų ir pabrėžiami ESET novatoriški Sandworm tyrimai, ypač Exaramel „galinių durų“ (kenkėjiškos programinės įrangos, kuri paneigia įprastas autentifikavimo procedūras, kad būtų galima pasiekti sistemą) atradimas.
 

Vertinimo apžvalga

ATT&CK vertinimuose pirmenybė teikiama grėsmių grupėms, galinčioms daryti didelę įtaką įmonėms ir vyriausybėms visame pasaulyje. „Wizard Spider“ yra finansiškai motyvuota nusikalstama grupuotė, kuri nuo 2018 m. rugpjūčio mėn. vykdo išpirkos reikalaujančių programų kampanijas, nukreiptas prieš įvairias organizacijas - nuo didžiųjų korporacijų iki ligoninių. Sandworm yra kibernetinio šnipinėjimo grėsmių grupuotė, žinoma dėl vykdomų destruktyvių atakų, pavyzdžiui, 2015 ir 2016 m. sutrikdytų Ukrainos elektros energijos tinklų ir 2017 m. „NotPetya“ protrūkio.

Vertinimo aptikimo scenarijus sudarė 10 žingsnių „Wizard Spider“ ir 9 žingsniai „Sandworm“ atveju. Kadangi „Linux“ palaikymas „ESET Inspect“ programoje buvo išleistas po vertinimo, keturi žingsniai, susiję su „Sandworm“, nebuvo įtraukti. ESET Inspect aptiko visus 15 taikytinų žingsnių (100 %). Pagrindinė metrika, kuri yra svarbi SOC analitikams, siekiantiems suprasti, kas vyksta jų aplinkoje, yra analitika - papildomas kontekstas, pavyzdžiui, kodėl užpuolikas atliko konkretų veiksmą sistemoje. ESET Inspect pateikė šią papildomą informaciją apie 69 iš visų aptiktų pakopų (92 proc.).

Svarbiausi XDR funkcionalumai

Esminis gero XDR sprendimo vaidmuo nebūtinai yra įspėti analitikus apie kiekvieną atakos metu atliekamą procedūrą (arba ATT&CK vertinimo atveju - pakopą). Veikiau jis turėtų juos įspėti, kad įvyko (arba vyksta) ataka, o vėliau padėti atlikti tyrimą, suteikdamas galimybę skaidriai naršyti po išsamius ir logiškai susistemintus įrodymus apie tai, kas ir kada įvyko aplinkoje. Šiam funkcionalumui ir toliau skiriame daug dėmesio kurdami ESET Inspect.

Be to, kad SOC analitikai įspėjami apie kenkėjišką veiklą, pateikiama papildoma kontekstinė informacija, įskaitant išsamius kenkėjo įvykdytus komandinės eilutės parametrus, vykdymo grandinę ir procesų medį - išryškinami kiti susiję įvykiai, kurie buvo įtartini arba akivaizdžiai kenkėjiški.

Pateikiamas pastebėto elgesio paaiškinimas, nuoroda į MITRE ATT&CK žinių bazę ir tipinės tokio elgesio priežastys - tiek piktybinės, tiek gerybinės. Tai ypač naudinga dviprasmiškais atvejais, kai potencialiai pavojingi įvykiai naudojami teisėtais tikslais dėl specifinių organizacijos vidaus procesų, kuriuos ištirti ir atskirti turi SOC analitikas.

Taip pat pateikiami rekomenduojami veiksmai ir įrankiai grėsmei sumažinti tokiais veiksmais, kaip proceso nutraukimas ar kompiuterio izoliavimas, kuriuos galima atlikti per ESET Inspect.

Įvertinimas, skatinantis tobulėti

„Mes, ESET, tikime savo sukurtomis daugiasluoksnėmis, aukšto lygio aptikimo technologijomis. ESET Inspect yra mūsų išplėstinių aptikimo ir reagavimo (XDR) galimybių pagrindas ir veikia kartu su ESET PROTECT saugumo platforma, kad pasiūlytume išbaigtą sprendimą, optimizuotą patogiam naudojimui", - sakė ESET vyriausiasis tyrimų vadovas Roman Kováč. „Sandworm“ stebime nuo pat jo atsiradimo, pirmieji nustatėme jo pogrupių „BlackEnergy“ ir „TeleBots“ veiklą ir aptikome „NotPetya“ protrūkio kilmę. Mums labai svarbu neatsilikti nuo telemetrijos ir išbandyti savo sprendimus per „MITRE Engenuity“ komandos ekspertų prizmę.“

„Šis naujausias etapas rodo reikšmingą mūsų tyrimo dalyvių produktų augimą. Matome, kad daugiau dėmesio skiriama grėsmes aptinkantiems pajėgumams, taip pat ir ATT&CK sistemos prioritetams", - sakė Ashwin Radhakrishnan, einantis „MITRE Engenuity“ ATT&CK vertinimų generalinio direktoriaus pareigas.

ATT&CK vertinimai rodo, kad ESET Inspect gali suteikti gynėjams puikų matomumą ir kontekstą visuose atakos etapuose. Kaip XDR įgalinantis sprendimas, ESET Inspect yra sudėtingas įrankis, turintis pažangias grėsmių medžioklės ir reagavimo į incidentus galimybes, o kartu su ESET PROTECT siūlo gilų tinklo matomumą, debesyje veikiančią grėsmių apsaugą ir dar daugiau. Dėl savo verslo sprendimų ESET kompanija nuolat pripažįstama geriausia žaidėja ir lydere šioje pramonės šakoje.