\n
![\"Ergebnisse](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-1.png\")
<\/span><\/div>Angesichts der sich st\u00e4ndig zuspitzenden Cybersicherheitslage ist es heute wichtiger als je zuvor, Widersachern einen Schritt voraus zu bleiben, die unerm\u00fcdlich neue und immer raffiniertere Methoden zur Umgehung von Sicherheitsma\u00dfnahmen finden. Es ist ein gef\u00e4hrlicher Kampf, bei dem den Verlierern katastrophale Konsequenzen drohen.<\/p>\n
In diesem Kampf ist MITRE Engenuity ein wichtiger B\u00fcndnispartner f\u00fcr Unternehmen, denn seine ATT&CK-Evaluierungen bringen Klarheit in das Chaos der zahlreichen angebotenen Sicherheitsl\u00f6sungen. Diese Evaluierungen haben sich als unsch\u00e4tzbar wertvolle Ressource f\u00fcr CISOs, Sicherheitsprofis und alle Anderen etabliert, die f\u00fcr die Sicherung der digitalen Assets ihres Arbeitgebers verantwortlich sind. MITRE ATT&CK Engenuity emuliert die Methoden der einfallsreichsten Cybersaboteure, um die Leistung der einzelnen Endpunktsicherheitsl\u00f6sungen auf Herz und Nieren zu testen.<\/p>\n
Doch was genau geschieht bei diesen Evaluierungen und was k\u00f6nnen Sie den Ergebnissen entnehmen? F\u00fcr jede der j\u00e4hrlichen Evaluierungen werden eine oder mehrere aktuell besonders umtriebige und ber\u00fcchtigte Angreifergruppe(n) ausgew\u00e4hlt und deren Taktiken, Techniken und Prozesse (TTP) emuliert. Dann l\u00e4dt das Red Team von MITRE Engenuity Anbieter von Cybersicherheitsl\u00f6sungen ein, sowohl im reinen Erkennungs- als auch im Pr\u00e4ventionsmodus auf die sorgf\u00e4ltig choreografierten Angriffe zu reagieren. Die Ergebnisse bieten Einblicke in drei F\u00e4higkeiten der L\u00f6sungen:<\/p>\n
- \n
- Transparenz<\/strong>\u00a0\u2013 was eine L\u00f6sung sehen kann<\/li>\n
- Erkennung<\/strong>\u00a0\u2013 welche Aktivit\u00e4ten die L\u00f6sung korrekt als b\u00f6sartig identifizieren kann<\/li>\n
- Schutz<\/strong>\u00a0\u2013 welche b\u00f6sartigen Aktivit\u00e4ten die L\u00f6sung unterbinden kann<\/li>\n<\/ol>\n
Die erstaunlich hohe Anzahl der Teilnehmer\u00a0\u2013 in diesem Jahr waren es 29\u00a0\u2013 ist vielleicht die beste Anerkennung f\u00fcr die viele M\u00fche, die MITRE Engenuity in die Zusammenstellung der anspruchsvollen und provokativen Tests investiert.<\/p>\n
<\/a>Runde 5 (Turla)<\/h2>\n
F\u00fcr die diesj\u00e4hrige, f\u00fcnfte Evaluierung hat das Red Team von MITRE Engenuity die Methoden von\u00a0Turla<\/a>\u00a0emuliert, einer Angreifergruppe, deren Aktivit\u00e4ten\u00a0von den Bedrohungsforschern unserer Unit\u00a042 bereits ausgiebig untersucht<\/a>\u00a0 wurden. Turla ist eine finanziell au\u00dferordentlich gut aufgestellte und technisch versierte, in Russland ans\u00e4ssige Hackergruppe, die bereits Ziele in \u00fcber 45\u00a0L\u00e4ndern infiziert hat, darunter Regierungsbeh\u00f6rden, milit\u00e4rische Einheiten, diplomatische Einrichtungen sowie Forschungs- und Medieninstitute. Die Gruppe ist insbesondere f\u00fcr ihre getarnten Ausschleusungstaktiken ber\u00fcchtigt, f\u00fcr die zum Beispiel die Websites von Regierungen f\u00fcr Watering-Hole-Angriffe ausgenutzt, eigens Rootkits angepasst, aufwendige Command-and-Control-Netzwerke eingerichtet und durchtriebene Ablenkungsman\u00f6ver inszeniert werden. Aus Gespr\u00e4chen mit Teilnehmern geht hervor, dass MITRE Engenuity sich in diesem Jahr selbst \u00fcbertroffen hat, was die Raffinesse der emulierten Angriffsmethoden betrifft.<\/p>\n
Unser Blue Team hat Cortex\u00a0XDR Pro auf Endpunktagenten auf Windows- und Linux-Systemen installiert. Es wurden keine weiteren L\u00f6sungen eingesetzt und Cortex\u00a0XDR wurde mit den Standardeinstellungen implementiert, mit denen das Produkt verkauft wird. Als einzige \u00c4nderungen wurden die Isolierung sch\u00e4dlicher Dateien und (f\u00fcr Linux) die Behandlung von Grayware als Malware aktiviert.<\/p>\n
<\/a>Wichtige Kennzahlen und Evaluierungskriterien<\/h2>\n
Die diesj\u00e4hrige Evaluierung begann mit zwei Szenarien f\u00fcr den reinen Erkennungsmodus, die nach ber\u00fcchtigten, von Turla entwickelten und eingesetzten Tools Carbon und Snake genannt wurden. Die anschlie\u00dfende Evaluierung des Pr\u00e4ventionsmodus nutzte dieselben Techniken, aber mit genug Zufallsvariationen, um sicherzustellen, dass die Tests nicht f\u00fcr beide Modi identisch waren. Die beiden Erkennungsszenarien bestanden aus je zehn Schritten mit mehreren Teilschritten, die im MITRE ATT&CK Framework enthaltenen Techniken entsprachen. Insgesamt gab es 143\u00a0Teilschritte, die potenziell von jedem Anbieter aufgedeckt werden konnten. Das Team von MITRE Engenuity protokollierte f\u00fcr jeden Teilschritt und jede L\u00f6sung, ob die Aktion erkannt wurde.<\/p>\n
Dabei wurde auch das Niveau der Erkennung festgehalten.<\/p>\n
MITRE Engenuity nutzt die folgenden Erkennungskategorien:<\/p>\n
- \n
- Nicht getestet (Not Applicable)<\/strong>\u00a0\u2013 Der Anbieter hatte w\u00e4hrend des Tests keinen Einblick in das System. (F\u00fcr Anbieter, die sich gegen eine Evaluierung auf Linux entschieden hatten.)<\/li>\n
- Keine (None)<\/strong>\u00a0\u2013 Der Teilschritt wurde nicht erkannt. (Es wurden keine Telemetriedaten f\u00fcr die sch\u00e4dlichen Aktivit\u00e4ten generiert.)<\/li>\n
- Telemetrie (Telemetry)<\/strong>\u00a0\u2013 Die Funktion liefert minimal verarbeitete Daten, die zeigen, dass ein oder mehrere Ereignis(se) stattgefunden hatten. (Bei Erkennungen dieser Art handelt es sich meist um die einfache Protokollierung der Aktivit\u00e4t.)<\/li>\n
- Allgemein (General)<\/strong>\u00a0\u2013 Ein anomales Ereignis wurde erkannt, aber keiner ATT&CK-Taktik (oder \u00e4quivalentem Kontext) zugeordnet. (Erkennungen dieser Art m\u00fcssen von Sicherheitsanalyst\/innen untersucht werden, um zu ermitteln, was vorgefallen ist und warum.)<\/li>\n
- Taktik (Tactic)<\/strong>\u00a0\u2013 Ein anomales Ereignis wurde erkannt und einer ATT&CK-Taktik (oder \u00e4quivalentem Kontext) zugeordnet. (Bei Erkennungen dieser Art wird gemeldet, warum eine Aktion stattfand, aber die genaue Art der Aktion oder Angriffstechnik m\u00fcssen von Sicherheitsanalyst\/innen ermittelt werden.)<\/li>\n
- Technik (Technique)<\/strong>\u00a0\u2013 Ein anomales Ereignis wurde erkannt und einer ATT&CK-Technik (oder \u00e4quivalentem Kontext) zugeordnet. (Bei Erkennungen dieser Art geben die Details und Kontextinformationen Auskunft dar\u00fcber, warum die Angreifer eine Aktion durchgef\u00fchrt haben und was genau sie getan haben, um ihr Ziel zu erreichen.)<\/li>\n<\/ul>\n
\n![\"Das]()
<\/span><\/div>
\n <\/p>\nMITRE Engenuity unterscheidet im Wesentlichen zwischen zwei Arten von Abdeckung: der telemetriebasierten und der \u201eanalysebasierten\u201c Abdeckung. Telemetriebasierte Abdeckung wird als die Anzahl der Teilschritte definiert, f\u00fcr die Telemetriedaten die h\u00f6chste von der L\u00f6sung erreichte Erkennungsstufe darstellen. Analysebasierte Abdeckung wird als die Anzahl der Teilschritte definiert, f\u00fcr die eine Erkennung der Kategorie Allgemein, Taktik oder Technik erreicht wurde.<\/p>\n
Au\u00dferdem ist erw\u00e4hnenswert, dass jede Erkennung einen oder zwei Erkennungsmodifikator(en) haben kann:<\/p>\n
- \n
- Konfigurations\u00e4nderungen (Configuration Changes)<\/strong>\u00a0\u2013 Mit diesem Modifikator werden Erkennungen am vierten Testtag gekennzeichnet. An diesem Tag erhalten die Anbieter eine zweite Chance, sch\u00e4dliche Aktivit\u00e4ten zu erkennen, die ihnen beim ersten Test entgangen waren.<\/li>\n
- Verz\u00f6gerte Erkennungen (Delayed Detections)<\/strong>\u00a0\u2013 Mit diesem Modifikator werden Erkennungen gekennzeichnet, bei denen die Meldung \u00fcber eine sch\u00e4dliche Aktivit\u00e4t nicht zeitnah, sondern nur mit erheblicher Verz\u00f6gerung auf der Konsole des Anbieters erscheint.<\/li>\n<\/ul>\n
F\u00fcr das Szenario im Schutzmodus wurden 129\u00a0Teilschritte in 13\u00a0Hauptschritten zusammengefasst. F\u00fcr jeden Teilschritt wurde protokolliert, ob er unterbunden wurde oder nicht. Dabei wurden die folgenden Kategorien verwendet:<\/p>\n
- \n
- Gesch\u00fctzt (Protected)<\/strong>\u00a0\u2013 Die sch\u00e4dliche Aktivit\u00e4t wurde blockiert.<\/li>\n
- Irrelevant (gesch\u00fctzt) [Not Applicable (protected)]<\/strong>\u00a0\u2013 Diese Kategorie wurde genutzt, wenn der zu testende Teilschritt nicht ausgef\u00fchrt werden konnte, weil die L\u00f6sung einen fr\u00fcheren Teilschritt blockiert und den Angriffsverlauf damit abgebrochen hatte.<\/li>\n
- Keine (None)<\/strong>\u00a0\u2013 Die sch\u00e4dliche Aktivit\u00e4t wurde nicht blockiert.<\/li>\n<\/ul>\n
<\/a>Wie schnitt Cortex\u00a0XDR ab?<\/h2>\n
Mit diesen Evaluierungen sollen drei F\u00e4higkeiten gepr\u00fcft werden:<\/p>\n
- \n
- Transparenz<\/strong>\u00a0\u2013 was eine L\u00f6sung sehen kann<\/li>\n
- Erkennung<\/strong>\u00a0\u2013 welche Aktivit\u00e4ten die L\u00f6sung korrekt als b\u00f6sartig identifizieren kann<\/li>\n
- Schutz<\/strong>\u00a0\u2013 welche b\u00f6sartigen Aktivit\u00e4ten die L\u00f6sung unterbinden kann<\/li>\n<\/ol>\n
Cortex\u00a0XDR war die einzige L\u00f6sung, die ohne Konfigurations\u00e4nderungen und verz\u00f6gerte Erkennungen 100\u00a0%\u00a0Schutz<\/strong>, 100\u00a0%\u00a0Transparenz<\/strong>\u00a0und 100\u00a0%\u00a0analysebasierte Abdeckung<\/strong>\u00a0(Erkennungen) erzielte.<\/p>\n
Auch die Qualit\u00e4t unserer Erkennungen sucht ihresgleichen: 142 der 143 erkannten Teilschritte wurden der\u00a0\u2013\u00a0h\u00f6chstm\u00f6glichen<\/em>\u00a0\u2013 Kategorie Technik zugeordnet. Die eine verbleibende Erkennung wurde der Kategorie Taktik zugeordnet. Bei der Evaluierung im Schutzmodus blockierte Cortex\u00a0XDR jeden einzelnen der 129\u00a0Teilschritte. All dies gelang ohne eine einzige \u201eKonfigurations\u00e4nderung\u201c oder \u201everz\u00f6gerte Erkennung\u201c. Mehr noch: Wenn wir die erst nach Konfigurations\u00e4nderungen erkannten Teilschritte au\u00dfer acht lassen, war Cortex\u00a0XDR die einzige L\u00f6sung, bei der kein Teilschritt der Erkennungskategorie \u201eKeine\u201c zugeordnet wurde. Mit anderen Worten bot\u00a0nur Cortex\u00a0XDR 100\u00a0% Transparenz<\/em>.
\n![\"Cortex]()
<\/span><\/div>Das\u00a0Dashboard von Palo Alto Networks f\u00fcr die MITRE Engenuity ATT&CK-Evaluierungen<\/a>. Gezeigt werden die Ergebnisse der Turla-Evaluierung von 2023.<\/figcaption><\/figure><\/p>\n Die Ergebnisse der diesj\u00e4hrigen Evaluierung spiegeln die enormen Anstrengungen von Palo Alto Networks sowohl bei der Bedrohungsforschung als auch bei der Weiterentwicklung unserer Endpunktsicherheitsl\u00f6sungen wider, die ihrerseits ein Zeichen unseres Engagements f\u00fcr die Sicherheit unserer Kunden in einer immer unsicheren Cyberwelt sind.<\/p>\n
<\/a>Eine Anmerkung zu 100\u00a0%<\/h2>\n
Wenn Sie die ATT&CK-Evaluierungen schon l\u00e4nger verfolgen, sind Sie vielleicht zu der \u00dcberzeugung gekommen, dass 100\u00a0% hier nichts Besonderes sind. Aber lassen Sie sich nicht einwickeln. Wenn andere Anbieter behaupten, bei der diesj\u00e4hrigen Evaluierung 100\u00a0% erzielt zu haben, dann meinen sie damit, dass sie in jedem Hauptschritt mindestens einen Teilschritt erkannt bzw. unterbunden haben. Nur Cortex hat tats\u00e4chlich alle b\u00f6swilligen Aktivit\u00e4ten\u00a0\u2013 also alle Teilschritte\u00a0\u2013 erkannt bzw. unterbunden.<\/p>\n
100\u00a0% Erkennung und Pr\u00e4vention sind das Ziel, das wir alle anstreben sollten. Wie Allie Mellen von Forrester nach den Evaluierungen\u00a02022 betonte, \u201e... sollte die Erkennung von Angriffen bekannter Angreifergruppen das Minimum sein, das wir von Sicherheitsprodukten erwarten, nicht das Maximum.<\/a>\u201c1\u00a0Dem stimmen wir voll und ganz zu, und mit Cortex\u00a0XDR legen wir die Messlatte h\u00f6her.<\/p>\n
Allerdings wies Mellen auch darauf hin, dass 100\u00a0% vielleicht nicht uneingeschr\u00e4nkt positiv zu bewerten sind, da L\u00f6sungen, die \u201ejede Technik erkennen, dies m\u00f6glicherweise nur durch das Generieren sehr vieler Alarme mit einem gro\u00dfen Anteil an False Positives erreichen.<\/a>\u201c Auch diese Meinung teilen wir. Deshalb nutzen wir maschinelle Lernverfahren intensiv, um zu erkennen, welche Aktivit\u00e4ten Teil des normalen Betriebs und welche m\u00f6glicherweise sch\u00e4dlich sind. Im Fall von Cortex\u00a0XDR kommt hinzu, dass wir zus\u00e4tzliche Telemetriedaten aus vielen anderen wichtigen Datenquellen in unsere L\u00f6sung importieren, um Ihnen die Kontextinformationen an die Hand zu geben, die Sie f\u00fcr eine fundierte Priorit\u00e4tensetzung ben\u00f6tigen.<\/p>\n
<\/a>Die Ergebnisse der ATT&CK-Evaluierung<\/h2>\n
Hut ab vor MITRE Engenuity f\u00fcr eine wesentlich anspruchsvollere Evaluierung als in den vorangegangenen Jahren. Zudem m\u00f6chten wir uns f\u00fcr die Verbesserungen bedanken, die L\u00f6sungsanbietern wie uns die Entscheidungsfindung erleichtern. Auf der Website von MITRE Engenuity zu den ATT&CK-Evaluierungen kann man jetzt die\u00a0Ergebnisse von drei Anbietern direkt miteinander vergleichen<\/a>. Dazu k\u00f6nnen Sie jedes der drei Szenarien und bis zu drei Anbieter ausw\u00e4hlen. Standardm\u00e4\u00dfig sind verz\u00f6gerte und nach Konfigurations\u00e4nderungen erzielte Erkennungen in den Ergebnissen inbegriffen. Sie k\u00f6nnen sich aber auch anzeigen lassen, wie die Ergebnisse ohne diese Erkennungen aussehen.
\n![\"Ergebnisse]()
<\/span><\/div>Ergebnisse der Schutzevaluierung von der Website der MITRE Engenuity ATT&CK-Evaluierungen<\/a>. Nur Cortex\u00a0XDR erzielte 100\u00a0% Pr\u00e4vention.<\/figcaption><\/figure><\/p>\n Wir h\u00f6ren seit vielen Jahren, dass die Ergebnisse der ATT&CK-Evaluierungen schwer verst\u00e4ndlich sind, weil es kein Tool gibt, dass die Ergebnisse aller Anbieter grafisch darstellt. Deshalb haben wir ein Tool entwickelt, um Ihnen die Interpretation der Ergebnisse dieses Jahres und der Vorjahre zu erleichtern. Mit diesem Tool k\u00f6nnen Sie sowohl die f\u00fcr Sie interessanten Anbieter als auch die Angreifergruppen ausw\u00e4hlen, deren Methoden emuliert wurden. Die angezeigten Diagramme werden direkt aus den von MITRE Engenuity f\u00fcr jeden teilnehmenden Anbieter bereitgestellten JSON-Dateien erstellt. St\u00f6bern Sie selbst in den\u00a0Ergebnissen der ATT&CK-Evaluierungen<\/a>\u00a0und ermitteln Sie anhand der Daten, welche L\u00f6sung am besten zum Schutz Ihrer Gesch\u00e4ftsumgebung geeignet ist.
\n - Erkennung<\/strong>\u00a0\u2013 welche Aktivit\u00e4ten die L\u00f6sung korrekt als b\u00f6sartig identifizieren kann<\/li>\n
- Irrelevant (gesch\u00fctzt) [Not Applicable (protected)]<\/strong>\u00a0\u2013 Diese Kategorie wurde genutzt, wenn der zu testende Teilschritt nicht ausgef\u00fchrt werden konnte, weil die L\u00f6sung einen fr\u00fcheren Teilschritt blockiert und den Angriffsverlauf damit abgebrochen hatte.<\/li>\n
- Verz\u00f6gerte Erkennungen (Delayed Detections)<\/strong>\u00a0\u2013 Mit diesem Modifikator werden Erkennungen gekennzeichnet, bei denen die Meldung \u00fcber eine sch\u00e4dliche Aktivit\u00e4t nicht zeitnah, sondern nur mit erheblicher Verz\u00f6gerung auf der Konsole des Anbieters erscheint.<\/li>\n<\/ul>\n
- Keine (None)<\/strong>\u00a0\u2013 Der Teilschritt wurde nicht erkannt. (Es wurden keine Telemetriedaten f\u00fcr die sch\u00e4dlichen Aktivit\u00e4ten generiert.)<\/li>\n
- Erkennung<\/strong>\u00a0\u2013 welche Aktivit\u00e4ten die L\u00f6sung korrekt als b\u00f6sartig identifizieren kann<\/li>\n
![\"Das](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-2.png\")
<\/span><\/div>![\"Cortex](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/image-15.png\")
<\/span><\/div>![\"Ergebnisse](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-4.png\")
<\/span><\/div>![\"In](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-5.png\")
<\/span><\/div>