ESET w trakcie tegorocznych testów Enterprise ATT&CK skupionych na zaawansowanych taktykach, technikach i procedurach (TTP) udowodnił zarówno swoje postępy, jak i potencjał dalszego doskonalenia swojego rozwiązania do wykrywania i reagowania. Przy okazji testy te uwypukliły interesujący kontrast między nimi a testami komercyjnymi.
MITRE od lat koncentruje się na symulacjach ataków, które wykorzystują bogaty zestaw TTP. W najnowszych testach wprowadzono jednak zmodyfikowane scenariusze wykrywania i ochrony, zmuszając dostawców do adaptacji. Pomimo ewolucji, testy MITRE nie są konkurencyjnym rankingiem – ich największa wartość leży w dostarczaniu informacji analitykom bezpieczeństwa, którzy na co dzień pracują z platformami EDR (Endpoint Detection and Response).
Nowe wyzwania i zmiany w testach 2024
MITRE wyeliminowało w tym roku z kategorii wykryć „telemetrię”, co podniosło wymagania dla zdarzeń kwalifikujących się jako wykrycia. Aby przeciwdziałać zjawisku „wykrywania wszystkiego” przez produkty optymalizowane pod testy, wprowadzono również testy oceniające fałszywe alarmy. Część kroków testowych przestała być w ogóle oceniana, co ogranicza możliwość „zbierania punktów” za nadmiarowe wykrycia.
ESET odpowiedział na te zmiany, prezentując nowy moduł w ESET Inspect – Incident Creator. Moduł ten zmienia sposób prezentacji wykryć, grupując je w incydenty. Dzięki temu analitycy zyskują precyzyjny wgląd w przebieg ataku. W testach ESET wykazał wysoką widoczność każdego scenariusza, wykrywając wszystkie kluczowe kroki i większość istotnych działań szczegółowych, jednocześnie minimalizując ilość wykryć.
Czego nauczyły nas tegoroczne testy?
W ostatnich testach ATT&CK Evaluations nasze platformy zmierzyły się z trzema scenariuszami ataków – DPRK, CI0p i LockBit – oraz serią 10 testów ochrony. Dzięki solidnym badaniom dotyczącym tych grup zagrożeń nasi inżynierowie byli zainteresowani obserwacją, jak ESET Inspect wspiera analityków SOC i klientów korzystających z usług, takich jak ESET MDR.
Zgodnie z regułami MITRE, funkcje blokowania były wyłączone, aby ocenić zdolności analityczne platform. W rzeczywistych warunkach wiele zagrożeń, takich jak ransomware LockBit czy CI0p, zostałoby jednak zatrzymanych już podczas pierwszego kontaktu, dzięki technologii ESET Live Guard Advanced.
Rysunek 1. Wykrycie backdoora FULLHOUSE.DOORED w scenariuszu zmiany konfiguracji DPRK
Rysunek 2. Wykrycie instalatora SDBbot w scenariuszu zmiany konfiguracji Cl0p
Rysunek 3. Wykrycie narzędzia do kradzieży haseł z Firefox w scenariuszu zmiany konfiguracji LockBit
Czy pełne pokrycie bazy wiedzy ATT&CK to najlepsze podejście?
Nasze doświadczenia wskazują, że dążenie do pełnego pokrycia bazy wiedzy ATT&CK nie zawsze przekłada się na lepszą ochronę lub większą pomoc dla analityków bezpieczeństwa w ich codziennej pracy. W przeciwieństwie do analizy forensycznej czy badania malware, systemy wykrywania i reagowania wymagają jedynie odpowiedniego pokrycia najczęściej występujących lub najgroźniejszych technik, aby analityk mógł szybko zareagować. Brak wykrycia technik o niskiej częstości występowania lub niskim poziomie zagrożenia niekoniecznie oznacza niższy poziom ochrony. Wręcz przeciwnie – może to usprawnić pracę zespołów bezpieczeństwa, a reakcja na zagrożenie staje się szybsza, ponieważ kluczowe kroki pozwalające zidentyfikować atak są od razu wyróżnione. W wielu przypadkach umożliwia to również automatyczną blokadę wykrytego zagrożenia.
Testy realne kontra symulacje ATT&CK
Poza testami ATT&CK Evaluations i ich scenariuszami skupionymi na pojedynczych technikach, testy zewnętrzne projektują scenariusze, które bardziej przypominają realne warunki. Koncentrują się one na takich aspektach, jak blokowanie zagrożeń, minimalizacja fałszywych alarmów, wydajność i koszty, zamiast na szczegółowym pokryciu taktyk, technik i procedur (TTP). Uwzględniają kluczowe kroki ataku, takie jak przejęcie kontroli nad punktem końcowym, propagacja wewnętrzna czy naruszenie zasobów organizacji. Najważniejszym kryterium jest zdolność zatrzymania ataku – czy to poprzez blokowanie złośliwych plików, zatrzymywanie procesów, czy dostarczenie analitykowi narzędzi do skutecznego działania.
ESET na czele innowacji EPDR
ESET po raz kolejny potwierdził swoją skuteczność, uzyskując doskonałe wyniki w realnych testach, takich jak Endpoint Prevention & Response (EPR) Test 2024 i 2023 organizowane przez AV-Comparatives. Znalazł się również w czołówce raportów KuppingerCole Leadership Compass w kategoriach MDR (Managed Detection and Response) oraz EPDR (Endpoint Protection Detection and Response). Raport KuppingerCole zwraca uwagę na to, że ochrona punktów końcowych (EPP) oraz zaawansowane narzędzia wykrywania i reagowania (EDR) naturalnie połączyły się w zintegrowane rozwiązania EPDR. Tego rodzaju integracja zapewnia kompleksowe, gotowe na realne zagrożenia systemy wykrywania i reagowania.
Gotowość na realne wyzwania: EPDR w działaniu
Rozwiązania EPDR to dziś standard ochrony, na którym opierają się organizacje i firmy. Jednak ESET nie poprzestaje na bieżących osiągnięciach, stale poszukując wyzwań, które pozwalają testować i doskonalić nasze produkty.
Jednym z takich wyzwań jest regularny udział w Locked Shields – największej na świecie wojskowej symulacji cyberobrony organizowanej przez NATO. W 2024 roku ponad 60 specjalistów ESET – od inżynierów, przez analityków monitoringu, po badaczy malware – wsparło drużyny Słowacji i Węgier w obronie przypisanego im środowiska. Nasze narzędzia, ESET Inspect i wielowarstwowa platforma ESET PROTECT, odegrały kluczową rolę w zdobyciu 4. miejsca spośród 18 drużyn oraz miejsc w pierwszej trójce w kategoriach takich jak ochrona po stronie klienta i analiza zagrożeń.
Wnioski i przyszłość
ESET pozostaje zaangażowany w rozwój cyberbezpieczeństwa na najwyższym poziomie. Nasze doświadczenie zdobyte podczas testów ATT&CK Evaluations oraz uczestnictwa w Locked Shields przekłada się na coraz lepsze wykrywanie i reagowanie na zagrożenia w rzeczywistych warunkach. Dzięki ponad 350 wkładom do bazy wiedzy ATT&CK oraz zaangażowaniu w rozwój produktów, ESET zapewnia ochronę, która nie tylko spełnia, ale wyznacza nowe standardy bezpieczeństwa.