\n
![\"I](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-1.png\")
<\/span><\/div>Nel panorama in costante evoluzione della sicurezza informatica, tenersi sempre un passo avanti non \u00e8 mai stato cos\u00ec cruciale. Gli avversari cercano continuamente modi nuovi e sofisticati di violare le difese. \u00c8 un gioco dalla posta molto alta, dove le regole cambiano continuamente e le conseguenze per chi non riesce a stare al passo possono essere catastrofiche.<\/p>\n
E qui entrano in scena MITRE Engenuity e le sue valutazioni ATT&CK aziendali, che sono una guida chiara in mezzo al caos. Queste valutazioni sono diventate una risorsa preziosa per i CISO, i professionisti della sicurezza e chiunque abbia il compito di proteggere le risorse digitali di un\u2019organizzazione. Sono una prova del nove o una verifica delle prestazioni del modo in cui le soluzioni di sicurezza degli endpoint nel settore fanno fronte ai sabotatori informatici pi\u00f9 ingegnosi.<\/p>\n
Ma cosa sono esattamente le valutazioni MITRE Engenuity ATT&CK e perch\u00e9 i risultati dovrebbero interessarti? Queste valutazioni annuali emulano le tattiche, le tecniche e le procedure (TTP) utilizzate da alcuni dei gruppi di hacker pi\u00f9 attivi e famigerati dei nostri tempi. Il Red Team di MITRE Engenuity invita i fornitori di soluzioni di sicurezza informatica a difendersi da attacchi preparati con attenzione (esclusivamente in modalit\u00e0 di rilevamento e di prevenzione) e a fornire informazioni su tre funzioni:<\/p>\n
- \n
- Visibilit\u00e0<\/strong>: cosa pu\u00f2 vedere una soluzione<\/li>\n
- Rilevamento<\/strong>: quali azioni possono essere identificate accuratamente come dannose<\/li>\n
- Protezione<\/strong>: quali azioni dannose pu\u00f2 prevenire una soluzione<\/li>\n<\/ol>\n
A queste valutazioni partecipa un numero sbalorditivo di fornitori: quest\u2019anno sono stati 29. Questa \u00e8 una dimostrazione del loro valore, e rispecchia i grandi sforzi fatti da MITRE Engenuity per assicurarsi di fornire una prova stimolante e all'altezza.<\/p>\n
<\/a>Quinto round (Turla)<\/h2>\n
Quest\u2019anno si \u00e8 svolta la quinta valutazione annuale e il Red Team di MITRE Engenuity ha deciso di emulare i metodi di\u00a0Turla<\/a>, un gruppo di hacker che i nostri\u00a0esperti che si occupano di minacce di Unit 42 hanno studiato<\/a>\u00a0a fondo. Turla \u00e8 un gruppo di hacker sofisticato con sede in Russia, che dispone di una straordinaria quantit\u00e0 di risorse e che ha infettato obiettivi in oltre 45 Paesi. Ha colpito agenzie amministrative, gruppi militari, missioni diplomatiche, organizzazioni di ricerca e organi di informazione. Turla usa tattiche di esfiltrazione invisibili e spregevoli, tra cui attacchi watering hole a siti Web governativi, rootkit personalizzati, infrastrutture di rete command-and-control elaborate e tattiche ingannevoli. Parlando con i difensori che hanno partecipato alla valutazione, \u00e8 chiaro che quest\u2019anno MITRE Engenuity ha fatto un grande passo avanti nel rendere pi\u00f9 sofisticati i metodi di attacco.<\/p>\n
Il Blue Team ha utilizzato Cortex XDR Pro per agente endpoint sugli endpoint sia di Windows che di Linux. Non sono state utilizzate altre soluzioni e Cortex XDR \u00e8 stato configurato con le impostazioni predefinite; le uniche modifiche sono state l'abilitazione della quarantena per i file dannosi e, per Linux, l\u2019abilitazione dell\u2019opzione per trattare grayware come un malware.<\/p>\n
<\/a>Metriche chiave e criteri di valutazione<\/h2>\n
La valutazione di quest\u2019anno \u00e8 stata suddivisa in due scenari esclusivamente di rilevamento, chiamati Carbon e Snake, che corrispondevano a importanti strumenti creati e utilizzati da Turla. A questa parte \u00e8 seguita una fase di protezione, che rispecchiava le tecniche usate nei test di rilevamento, con l\u2019introduzione di abbastanza entropia da non risultare identica all\u2019altro test. Ciascuno dei due scenari di rilevamento aveva 10 passaggi, costituiti da diversi sottopassaggi che mappano tecniche effettive nel framework MITRE ATT&CK. Nel complesso, si trattava di 143 sottopassaggi che ciascun fornitore ha avuto la possibilit\u00e0 di vedere. Per ciascuno di questi sottopassaggi, il team MITRE Engenuity ha registrato se la soluzione in questione aveva un rilevamento per l'azione effettuata<\/p>\n
e ciascuno di questi rilevamenti \u00e8 stato categorizzato in base alla qualit\u00e0 osservata.<\/p>\n
Categorie di rilevamento di MITRE Engenuity:<\/p>\n
- \n
- Non applicabile<\/strong>: i partecipanti non avevano visibilit\u00e0 sul sistema messo alla prova (ad esempio, in caso di rinuncia alla valutazione Linux).<\/li>\n
- Nessuno<\/strong>: nessun rilevamento effettuato (nessuna telemetria associata all'attivit\u00e0 dannosa).<\/li>\n
- Telemetria<\/strong>: dati raccolti dalla funzione che mostrano l'evento\/i che si \u00e8 verificato, processati in maniera minima (generalmente, i rilevamenti di questo tipo sono una registrazione di base delle attivit\u00e0).<\/li>\n
- Generale<\/strong>: l'evento anomalo \u00e8 stato rilevato, ma non \u00e8 stata specificata una tattica ATT&CK o di contesto equivalente (con rilevamenti di questo tipo, sta agli analisti della sicurezza indagare e stabilire che azioni sono state intraprese e perch\u00e9).<\/li>\n
- Tattico<\/strong>: \u00e8 stata specificata una tattica ATT&CK o di contesto equivalente dell'evento anomalo (i rilevamenti di questo tipo stabiliscono perch\u00e9 si \u00e8 verificata un'azione, ma lasciano nuovamente agli analisti della sicurezza il compito di indagare sulle azioni o sulle tecniche intraprese).<\/li>\n
- Tecnico<\/strong>: \u00e8 stata specificata una tecnica ATT&CK o di contesto equivalente dell'evento anomalo (i rilevamenti di questo calibro forniscono il contesto e i dettagli necessari per capire perch\u00e9 un avversario ha eseguito un\u2019azione e quale azione specifica ha usato per raggiungere quell\u2019obiettivo).<\/li>\n<\/ul>\n
\n![\"Grafico]()
<\/span><\/div>
\n <\/p>\nMITRE Engenuity identifica con efficacia due tipi di copertura: la copertura della telemetria e la \u201ccopertura analitica\u201d. La copertura della telemetria si pu\u00f2 definire come il numero di sottopassaggi in cui una soluzione produce un rilevamento telemetrico come rilevamento di maggior valore. La copertura analitica si pu\u00f2 definire come il numero di sottopassaggi che contengono un rilevamento generale, tattico o tecnico.<\/p>\n
Vale anche la pena di segnalare che tutti i rilevamenti possono avere uno o due indicatori di modifica del rilevamento:<\/p>\n
- \n
- Modifiche di configurazione<\/strong>: un indicatore di modifica di questo tipo \u00e8 segnalato se il rilevamento \u00e8 stato effettuato il quarto giorno del test, quando ai fornitori viene data una seconda occasione per rilevare attivit\u00e0 dannose non riscontrate durante il test iniziale.<\/li>\n
- Rilevamenti in ritardo<\/strong>: questo genere di indicatore di modifica viene segnalato se il rilevamento non avviene tempestivamente; questo implica un ritardo significativo nell\u2019intraprendere un\u2019azione e quando il rilevamento viene osservato nella console del fornitore.<\/li>\n<\/ul>\n
Lo scenario di protezione era costituito da 129 sottopassaggi organizzati in 13 passaggi principali. Nel caso di questi sottopassaggi, ciascun sottopassaggio di protezione era bloccato oppure non bloccato e registrato come:<\/p>\n
- \n
- Protetto<\/strong>: l'attivit\u00e0 dannosa \u00e8 stata bloccata.<\/li>\n
- Non applicabile (protetto)<\/strong>: questo avviene quando un sottopassaggio precedente nel passaggio di prevenzione \u00e8 stato bloccato, pertanto i sottopassaggi successivi non vengono eseguiti.<\/li>\n
- Nessuno<\/strong>: l'attivit\u00e0 dannosa non \u00e8 stata bloccata.<\/li>\n<\/ul>\n
<\/a>Che prestazioni ha avuto Cortex XDR?<\/h2>\n
L\u2019obiettivo di queste valutazioni \u00e8 fornire informazioni su tre funzioni:<\/p>\n
- \n
- Visibilit\u00e0<\/strong>: cosa pu\u00f2 vedere una soluzione<\/li>\n
- Rilevamento<\/strong>: quali azioni possono essere identificate accuratamente come dannose<\/li>\n
- Protezione<\/strong>: quali azioni dannose pu\u00f2 prevenire una soluzione<\/li>\n<\/ol>\n
Cortex XDR \u00e8 l\u2019unico a fornire il 100% di\u00a0protezione<\/strong>, garantendo il 100% di\u00a0visibilit\u00e0<\/strong>\u00a0e\u00a0copertura analitica<\/strong>\u00a0(rilevamenti) senza modifiche di configurazione o rilevamenti in ritardo.<\/p>\n
Inoltre, la qualit\u00e0 dei nostri rilevamenti \u00e8 senza pari, con 142 rilevamenti su 143 a livello Tecnico, che \u00e8\u00a0il livello di qualit\u00e0 pi\u00f9 alta<\/em>. L\u2019unico altro rilevamento \u00e8 stato riconosciuto al livello Tattico. Tutti i 129 sottopassaggi nella valutazione della protezione sono stati bloccati. Tutto questo \u00e8 stato ottenuto senza modifiche di configurazione e rilevamenti in ritardo. Se si escludono i rilevamenti avvenuti dopo modifiche di configurazione, Cortex XDR \u00e8 stato l\u2019unico fornitore che non ha perso alcun rilevamento (tipo di rilevamento, Nessuno). In altre parole, Cortex XDR \u00e8 stato\u00a0l\u2019unico fornitore con una visibilit\u00e0 del 100%<\/em>.
\n![\"Screenshot]()
<\/span><\/div>La\u00a0dashboard delle valutazioni di MITRE Engenuity ATT&CK di Palo Alto Networks<\/a>. Istantanea che mostra i risultati della valutazione Turla 2023.<\/figcaption><\/figure><\/p>\n I risultati della valutazione di quest\u2019anno rispecchiano gli enormi sforzi che Palo Alto Networks continua a fare nella ricerca sugli avversari e nella progettazione della sicurezza degli endpoint, sfruttando queste conoscenze per aiutare i nostri clienti a rimanere al sicuro in un mondo informatico sempre pi\u00f9 ostile.<\/p>\n
<\/a>Un appunto sul 100%<\/h2>\n
Per chi segue le valutazioni ATT&CK da un po\u2019 di tempo, il 100% pu\u00f2 sembrare un risultato comune. Ma non bisogna fare confusione: quando le altre soluzioni affermano di aver ottenuto il 100% nella valutazione di quest'anno, significa che hanno effettuato almeno un\u2019istanza di rilevamento e\/o prevenzione in tutti i passaggi principali. Soltanto Cortex ha fornito questi rilevamenti per ciascuna delle azioni dannose individuali, nei sottopassaggi.<\/p>\n
Il 100% di rilevamento e prevenzione \u00e8 l\u2019obiettivo a cui tutti dovremmo aspirare. Come ha sottolineato Allie Mellen di Forrester dopo la valutazione dello scorso anno, \u201crilevare un attacco eseguito da un attore di minacce noto dovrebbe essere il minimo che possano fare i prodotti di sicurezza, non il massimo<\/a>\u201d1. Siamo pienamente d'accordo, e Cortex XDR sta dando l\u2019esempio.<\/p>\n
Detto questo, Allie ha anche giustamente indicato che forse un rilevamento del 100% non \u00e8 necessariamente una cosa positiva, poich\u00e9 le soluzioni che \u201crilevano ogni tecnica possono essere fastidiosi, avere un alto numero di falsi positivi e fornire una quantit\u00e0 eccessiva di avvisi<\/a>\u201d. Anche noi condividiamo questo punto di vista. Ecco perch\u00e9 ci avvaliamo molto dell\u2019apprendimento automatico per comprendere quali attivit\u00e0 rappresentano le normali operazioni e quali azioni sono potenzialmente dannose. Nel caso di Cortex XDR, questo \u00e8 soltanto rafforzato dal fatto che abbiamo integrato ulteriore telemetria da molte altre origini di dati fondamentali che offrono indizi cruciali sul contesto per stabilire dove focalizzare le indagini.<\/p>\n
<\/a>I risultati della valutazione ATT&CK<\/h2>\n
Facciamo i complimenti a MITRE Engenuity, perch\u00e9 quest\u2019anno \u00e8 stato decisamente pi\u00f9 impegnativo rispetto ai test precedenti. Inoltre, siamo entusiasti dei miglioramenti che hanno fatto per aiutare i difensori a prendere decisioni informate. I risultati della valutazione ATT&CK, riportati sul sito di MITRE Engenuity, ora consentono di confrontare le\u00a0prestazioni di tre fornitori affiancati<\/a>. Puoi selezionare ciascuno dei tre scenari di valutazione e fino a tre fornitori. Per impostazione predefinita, i risultati mostrati includono i rilevamenti in ritardo e quelli derivanti da modifiche di configurazione. Si possono comunque visualizzare i risultati con tali indicatori di modifica rimossi.
\n![\"I]()
<\/span><\/div>I risultati della valutazione della protezione dal sito Web della valutazione di MITRE Engenuity ATT&CK<\/a>. Solo Cortex XDR ha raggiunto il 100% di prevenzione.<\/figcaption><\/figure><\/p>\n Abbiamo sentito dire per molti anni che \u00e8 difficile capire i risultati della valutazione ATT&CK, perch\u00e9 nessuno strumento di visualizzazione dei dati consente di visualizzare i risultati di tutti i fornitori. Per permettere una maggiore comprensione, abbiamo creato uno strumento che aiuta ad analizzare i risultati di quest'anno e degli anni precedenti. Questo strumento permette di selezionare i fornitori che ti interessano e gli avversari specifici che sono stati emulati. Tutti i grafici sono generati direttamente dai file JSON forniti da MITRE Engenuity per ciascuno dei fornitori partecipanti. Scopri direttamente i\u00a0risultati della valutazione ATT&CK<\/a>\u00a0e lascia che siano i dati a rivelare la scelta migliore per difendere la tua azienda.
\n - Rilevamento<\/strong>: quali azioni possono essere identificate accuratamente come dannose<\/li>\n
- Non applicabile (protetto)<\/strong>: questo avviene quando un sottopassaggio precedente nel passaggio di prevenzione \u00e8 stato bloccato, pertanto i sottopassaggi successivi non vengono eseguiti.<\/li>\n
- Rilevamenti in ritardo<\/strong>: questo genere di indicatore di modifica viene segnalato se il rilevamento non avviene tempestivamente; questo implica un ritardo significativo nell\u2019intraprendere un\u2019azione e quando il rilevamento viene osservato nella console del fornitore.<\/li>\n<\/ul>\n
- Nessuno<\/strong>: nessun rilevamento effettuato (nessuna telemetria associata all'attivit\u00e0 dannosa).<\/li>\n
- Rilevamento<\/strong>: quali azioni possono essere identificate accuratamente come dannose<\/li>\n
![\"Grafico](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-2.png\")
<\/span><\/div>![\"Screenshot](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/image-15.png\")
<\/span><\/div>![\"I](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-4.png\")
<\/span><\/div>![\"Grafico](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-5.png\")
<\/span><\/div>