Bedreigingsgroepen zoals Wizard Spider en Sandworm hebben de afgelopen jaren grote schade aangericht door cybercriminaliteitstools zoals Conti, Trickbot en Ryuk ransomware te ontwikkelen en in te zetten. Meest recentelijk ontketende Sandworm (vermoedelijk een Russische cyber-militaire eenheid) cyberaanvallen op Oekraïense infrastructuurdoelen.
Om ervoor te zorgen dat cyberbeveiligingsproviders klaar zijn voor de strijd, gebruikt MITRE Engenuity aanvalsscenario’s en tactieken uit de praktijk die zijn geïmplementeerd door bedreigingsgroepen om de capaciteiten van beveiligingsleveranciers te testen om zich tegen bedreigingen te beschermen – de MITRE ATT&CK Evaluation. De detecties en mogelijkheden van elke leverancier worden beoordeeld in de context van de: MITRE ATT&CK Kader.
Dit jaar gebruikten ze de tactieken van Wizard Spider en Sandworm’s tijdens hun evaluatiesimulaties. En MITRE Engenuity had het deze deelnemende leveranciers niet gemakkelijk. Zoals eerder vermeld – de inzet is te hoog en het risico neemt toe.
Het resultatenoverzicht van 2022
Om er eenvoudig over na te denken, deze MITRE ATT&CK Evaluation heeft de beveiligingsmogelijkheden van 30 endpoint-beveiligingsoplossingen gemeten. Twee belangrijke metingen die uit de tests worden gegenereerd, zijn Algemene detectie en Algemene bescherming.
Als een deelnemende leverancier, Cynet, uitgelegd in een blogpost waarin de resultaten worden beoordeeld“Algehele detectie (wat MITER “Zichtbaarheid” noemt”) is het totale aantal gedetecteerde aanvalsstappen in alle 109 substappen. Algemene preventie (wat MITER “Bescherming” noemt) meet hoe vroeg in de aanvalsvolgorde de dreiging werd gedetecteerd, zodat volgende stappen niet konden worden uitgevoerd. Beide zijn belangrijke metingen en zijn indicatief voor een sterke oplossing voor eindpuntdetectie.”
De onderstaande grafiek toont de algemene detectie- en beschermingsprestaties van de deelnemende leveranciers in 2022:
En hier zijn de resultaten in de vorm van een samenvattende tabel:
Hoe het werkt
MITRE ATT&CK gebruikt een unieke aanpak en test dit jaar 30 beveiligingsleveranciers op hun vermogen om te beschermen tegen aanvallen die momenteel in het wild plaatsvinden. Ze doen dit door deze leveranciers door een simulatie te laten gaan in een gecontroleerde omgeving, waardoor een onbevooroordeelde beoordeling wordt gemaakt van het platform en de mogelijkheden van elke leverancier om bedreigingen te detecteren en erop te reageren.
De resultaten van deze evaluaties worden eind maart vrijgegeven en zijn bedoeld om te worden gebruikt door beveiligingsteams die hun beveiligingsprogramma willen versterken, wat vaak inhoudt dat een cyberbeveiligingsprovider moet worden geïdentificeerd. De MITRE ATT&CK Evaluation test specifieke capaciteiten met behulp van een publieksgerichte methodologie en biedt een objectieve beoordeling zonder de prestaties van elke leverancier te rangschikken.
De interpretatie van de resultaten en het bepalen welke leverancier het beste presteerde, is aan de lezer om te beslissen. En dat is waar dingen lastig worden.
De resultaten van de MITRE ATT&CK-evaluatie zijn bedoeld als een nuttig hulpmiddel en het betaamt beveiligingsleiders en leidinggevenden om te leren hoe ze deze resultaten kunnen benutten. De moeilijkheid is te begrijpen wat deze resultaten betekenen in de context van de prestaties van andere leveranciers.
De 2022 MITRE ATT&CK evaluatieresultaten webinar
Zoals veel beveiligingsexperts je zullen vertellen, is het interpreteren van deze gegevens makkelijker gezegd dan gedaan. Cynet, een van de leveranciers die dit jaar heeft deelgenomen aan de evaluatie, wil wat duidelijkheid scheppen in de verwarring. Het doel is om organisaties die op zoek zijn naar een beveiligingsprovider te helpen deze resultaten te gebruiken om te beoordelen welke capaciteiten van deelnemende leveranciers het beste aansluiten bij hun behoeften.
Cynet’s CTO, Aviad Hasnis, zal deze webinarreeks hosten, beginnend op 7 april 2022. Hij zal uitleggen hoe u de MITRE ATT&CK Evaluation-resultaten kunt gebruiken als hulpmiddel bij uw zoektocht naar een beveiligingsleverancier, naast het delen van details die specifiek zijn voor Cynet’s uitvoering. Lees hier meer en meld je aan.
