CrowdStrike забезпечує 100% покриття за результатами MITRE Engenuity ATT&CK Evaluations: Round 5

CrowdStrike отримав найвищий результат за результатами двох останніх оцінок MITRE Engenuity ATT&CK® Evaluations поспіль. Компанія досягла 100% захисту, 100% видимості та 100% аналізу виявлення в оцінці Enterprise Round 5 – що дорівнює 100% запобіганню та зупиненню порушень. CrowdStrike також досягла найвищого рівня виявлення в тестуванні для постачальників послуг керованої безпеки.

Однак інтерпретація результатів тесту Round 5 може швидко стати дуже заплутаною через різні подання результатів тесту від кожного постачальника. На відміну від інших сторонніх аналітичних компаній, MITRE не розміщує постачальників у квадранті або на графіку, а також не надає порівняльну оцінку. Він залишає інтерпретацію на розсуд кожного постачальника та самих клієнтів, а це означає, що ви будете завалені новинами про “перемогу” в оцінюванні.

У MITRE немає переможців чи лідерів, є лише необроблені дані про можливості захисту постачальника від відомих чи ще не відомих загроз. Без більш чітких інструкцій та контролю з боку MITRE, результати продовжать збивати замовників з пантелику, враховуючи відмінності між рішеннями, що тестуються, та підходами до оцінювання.

Компанія CrowdStrike використовує результати оцінювання для подальшого вдосконалення можливостей платформи CrowdStrike Falcon, а також для того, щоб клієнти краще розуміли позицію компанії щодо кібербезпеки: Зупинка порушень вимагає повної видимості, виявлення і захисту, які дійсно можна використовувати в реальному сценарії.

Як слід інтерпретувати результати?

По-перше, важливо розуміти нюанси двох типів оцінювання, які проводить MITRE: тестів з відкритою та закритою книгою.

Тестування з відкритою книгою для відомих зловмисників: Оцінки підприємств MITRE ATT&CK, такі як нещодавній Round 5, надають постачальникам за кілька місяців до початку тестування відомості про імітованого зловмисника та його тактику, методи і процедури (TTPs), а потім вимірюють рівень захисту в тихому лабораторному середовищі.

Рисунок 1. CrowdStrike виявляє 143 (100%) кроки при оцінюванні MITRE Engenuity ATT&CK Evaluation: Enterprise Round 5 з високоякісною аналітикою (Тактика і техніка)

Не всі результати однакові, що важко побачити на порівняльній діаграмі, оскільки постачальники мають можливість налаштовувати свої системи заздалегідь і вносити зміни в конфігурацію “на льоту” з допомогою команд експертів, які можуть працювати за лаштунками 24/7 протягом усього періоду тестування. Наприклад, було зафіксовано, як виробники оновлювали операційні системи під час тестування, тоді як інші вручну виправляли результати або додавали новий контекст і виявлення.

Round 5 імітував Turla, яку CrowdStrike класифікує як VENOMOUS BEAR, витонченого зловмисника, що базується на росії. Враховуючи їхню складну тактику, лише деякі постачальники змогли виявити всі їхні хитрощі, а середній показник розпізнавання склав 83%. Якісне аналітичне виявлення тактики і техніки було ще меншим, середній показник знизився до 66% – при цьому CrowdStrike досягнув повного 100% покриття аналітичним виявленням.

Високоякісна аналітика надзвичайно важлива, оскільки вона дає уявлення про те, чого намагається досягти зловмисник і як він намагається цього досягти. Якісне аналітичне виявлення забезпечує необхідний аналітикам контекст, що дозволяє їм витрачати менше часу на визначення того, чи є оповіщення істинним або хибним, а також дає уявлення про те, що намагається зробити зловмисник. Завдяки виявленню тактик і методів, аналітики безпеки можуть витрачати час на те, що дійсно важливо: зупинення порушень.

На порівняльній діаграмі, подібній до наведеної вище, неможливо зрозуміти, чи є надана функція телеметрією з великою кількістю шуму, чи важливим контекстом, доданим до високоточного оповіщення.

Тестування за закритою книгою для невідомих зловмисників: Тест MITRE для постачальників послуг керованої безпеки — це точний показник того, як вони захищатимуть клієнта в реальних умовах, без повторних перевірок і без можливості шукати додаткові докази. Єдине повідомлення, яке постачальники отримують заздалегідь, — це дата початку, без жодної інформації про імітованого опонента чи його TTP. MITRE запускає тест, і ви отримуєте оцінку покриття.

Малюнок 2. CrowdStrike виявив 99% методів зловмисника під час оцінювання MITRE ATT&CK для постачальників послуг керованої безпеки.

Щоб знайти партнера з кібербезпеки, варто проаналізувати та співвіднести результати багатьох різних тестів, які використовують різні TTP і змушують продукти поводитися по-різному, щоб виявити справжній результат роботи платформи. Переконайтеся, що ви проаналізували результати як відкритих, так і закритих тестів, включаючи ті, які вимірюють помилкові спрацьовування і продуктивність, і точно знаєте, що робили постачальники, щоб досягти своїх результатів. Найголовніше, переконайтеся, що ви можете досягти таких же результатів у своєму підприємстві. Досвідчені зловмисники не можуть дозволити собі таку розкіш, як попередження, а клієнти не мають десятків людей, які працюватимуть за лаштунками над розгортанням їхніх рішень.

Зупинити порушення — це важливо

Далі важливо оцінити, наскільки ефективно постачальник може зупинити зловмисників без ручного втручання. У тесті з відкритою книгою Round 5 середній показник блокування склав 86%, в той час, як CrowdStrike захистив 100%. Ще важливіше, ніж покриття, є розуміння того, як були досягнуті такі результати.

1. Чи використовували вони легко обхідні сигнатури або спеціальні засоби виявлення, що потребують спеціальних знань?
2. Чи є аналітичні засоби виявлення та захисту високоточними та придатними для використання в масштабах підприємства?
3. Як ми можемо відтворити цей результат у своєму середовищі?

Для порівняння, платформа CrowdStrike Falcon зупинила 13 з 13 сценаріїв без будь-яких спеціальних знань, використовуючи просунутий ШІ та поведінковий аналіз. Це свідчить про те, що профілактика на основі штучного інтелекту буде такою ж ефективною у вашому середовищі, як і в тестуванні MITRE.

Як це все поєднується?

Зрештою, те, як платформа досягла своїх результатів, має не менше значення, ніж саме покриття. За допомогою тестів з відкритим кодом, таких як Enterprise Evaluation Round 5, ви можете найняти достатню кількість експертів, щоб вручну додати власні теги, виявлення та контекст для досягнення ідеального покриття. Ось чому ви побачите, як постачальники кричать про своє покриття з усіх рупорів – адже, на перший погляд, багато з них досягли успіху.

Усі порівняльні діаграми, включно з тими, що наведені вище, показують лише частину картини. Важливо звернути увагу на деталі: те, як ви це робите, має таке ж значення, як і те, що ви робите. Якщо ви не можете досягти результатів у вашому середовищі, це просто цифра на порівняльній діаграмі. Вона не може зупинити зловмисників і не може запобігти порушенням.

Запитайте свого постачальника, в тому числі CrowdStrike, як вони досягли своїх результатів — і переконайтеся, що вони не застосовували титанічних ручних зусиль, які ніколи не спрацюють в реальному світі. Також важливо точно розуміти, як виглядає повна специфікація матеріалів для відтворення результатів. Деякі постачальники вимагають складного точкового розгортання продуктів, інші — дорогого поєднання програмного забезпечення та обладнання для мережевої безпеки, а треті — значних інвестицій в персонал.

Особливо ретельно слід розглядати постачальників, які використовують спеціальні тестові конфігурації, які неможливо відтворити в реальному виробничому середовищі. Платформа CrowdStrike Falcon завжди постачається за допомогою єдиного легкого агента, який легко розгортається, легко керується і ніколи не вимагає перезавантаження. Ми зміцнюємо кібербезпеку, досягаючи кращих результатів з набагато кращою окупністю інвестицій.

Компанія гарантує якість своєї платформи і чудове охоплення як відкритого, так і закритого тестування MITRE для відомих і невідомих супротивників, забезпечуючи справжнє запобігання зламам у реальному світі.

iIT Distribution є офіційним партнером CrowdStrike, який відповідає за розповсюдження та просування їхніх продуктів на територіях України, Казахстану, Узбекистану, Грузії, Польщі, Азербайджані, Естонії, Литви, Латвії, Киргизстану, Молдови та Таджикистану. Ми також надаємо професійну підтримку при проєктуванні та впровадженні цих рішень. Наша команда завжди готова надати нашим партнерам та клієнтам всю необхідну інформаційну підтримку, що стосується кожного продукту та рішення. Ми також готові відповісти на всі ваші запитання та консультувати вас з усіх питань, що стосуються підвищення ефективності роботи вашої IT-інфраструктури та забезпечення її безпеки.