31 Mart 2022, Güncelleme: 2 Ağustos 2024
31 Mart’ta, güvenlik çözümleri için MITRE ATT&CK® Değerlendirmelerinin son turunun sonuçları açıklandı. Bu yıl, Bitdefender da dahil olmak üzere önde gelen siber güvenlik şirketlerinden 30 güvenlik çözümü, Wizard Spider ve Sandworm Team’in taktik ve tekniklerini tespit etme yetenekleri açısından test edildi.
MITRE değerlendirmelerinin bu 4. turunda Etki için Şifrelenmiş Veri tekniğine (T1486) odaklanıldı. Saldırganlar, sistem ve ağ kaynaklarının kullanılabilirliğini kesintiye uğratmak için hedef sistemlerdeki veya bir ağdaki çok sayıda sistemdeki verileri şifreleyebilir. Ryuk (S0446) ve Conti (S0575) kötü amaçlı yazılımlarıyla bilinen Wizard Spider, fidye yazılımı sektörünü temsil etmek üzere seçilmiştir. NotPetya kötü amaçlı yazılımıyla (S0368) tanınan Sandworm Team, geri dönüşü olmayan yıkıma neden olmak üzere tasarlanmış daha kötü niyetli bir silecek kötü amaçlı yazılımını temsil etmektedir. Her ikisi de tam zamanında yapılan seçimler: Conti fidye yazılımı yakın zamanda gerçekleşen bir sızıntının ardından güvenlik araştırmacıları tarafından detaylı bir incelemeye tabi tutulurken, NotPetya gibi siliciler de Ukrayna’da devam eden savaşın ortasında yaygın olarak kullanılıyor.
MITRE ATT&CK® Değerlendirmelerini benzersiz ve değerli kılan nedir?
Aşırı abartılı iddialarla dolu bir pazarda, bağımsız üçüncü taraf testleri yoluyla yetenekleri doğrulamak kritik önem taşır. AV-Comparatives ve AV-TEST, güvenlik çözümlerinin değerlendirilmesi söz konusu olduğunda tanınmış kuruluşlardan bazılarıdır ve MITRE Engenuity ATT&CK® Değerlendirmeleri, güvenlik satıcıları ve uygulayıcıları arasında popülerlik kazanmaktadır.
ATT&CK® Değerlendirmeleri birçok yönden benzersizdir. MITRE, çözümün siber tehditleri engelleme yeteneğini test etmek yerine, önleme katmanlarını geçmeleri durumunda sofistike tehdit aktörlerinin tüm davranışlarını taklit eder. Bu amaçla, test edilen güvenlik çözümünün engelleme davranışı veya önleyici yetenekleri devre dışı bırakılır, böylece değerlendirme algılama, telemetri ve analiz yeteneklerine odaklanabilir. ATT&CK® bilgi tabanı çerçevesi, değerlendirilen tüm tedarikçiler için ortak bir kelime dağarcığı ve uyum sağlamak için kullanılır.
ATT&CK® Değerlendirme sonuçlarını anlamlandırmak, MITRE Engenuity’nin karşılaştırmalı bir analiz yayınlamaması, bunun yerine değerlendirmeyi bireylere bırakması nedeniyle zor olabilir. Puanlar, sıralamalar veya derecelendirmeler yoktur. Bunun yerine, değerlendirmeler her bir tedarikçinin ATT&CK® bilgi tabanı bağlamında tehdit tespitine nasıl yaklaştığını göstermektedir. Sağlanan sonuçlar kapsamlı ve rekabetçi sıralamalar olmadan, birden fazla potansiyel yorum sonuçlarda gezinmeyi zorlaştırıyor. Forrester analistleri ATT&CK’nin zorluklarını güzel bir şekilde özetlemiştir.
Tüm ATT&CK değerlendirme katılımcılarının nihai rakibi tehdit aktörleridir. ATT&CK değerlendirmeleri, güvenlik sağlayıcılarının bu egzersizlerden öğrenmelerine ve güvenlik araçlarımızı geliştirmelerine yardımcı olur. Bitdefender olarak, katılımcı satıcıların üçte birinden fazlasının bizden bir veya daha fazla teknolojiyi lisanslamasından gurur duyuyoruz, bu da teknolojimizin ve uzmanlığımızın değerini doğruluyor.
Tespit kalitesi nasıl değerlendirilir?
Rekabetçi sıralamaların olmaması ATT&CK® değerlendirmelerinin alışılmadık bir özelliğidir, ancak siber güvenlik topluluğunu sonuçları anlamak için zaman harcamaktan caydırmamalıdır. Sonuçlar, test edilen çözümlerin davranışlarını anlamak için mükemmel bir kaynak sağlar ve diğer bağımsız üçüncü taraf raporlarını tamamlayıcı niteliktedir.
Bu yılki ATT&CK® değerlendirme senaryoları, çok çeşitli ATT&CK® taktik ve tekniklerini kapsayan 109 alt adım içeriyordu. ATT&CK® Değerlendirmelerinin mevcut turunda yer alan taktik ve teknikleri görselleştirmenin en kolay yollarından biri, ATT&CK® matrisini görselleştirmek için MITRE’nin web tabanlı bir aracı olan ATT&CK® Navigator’ı kullanmaktır.
Alt adımların her biri için, elde edilen en yüksek tespit kategorisi listelenir. Tespit kategorisi, bir güvenlik çözümünün davranışı görme yeteneğine sahip olup olmadığını (Telemetri), saldırganın ne elde etmeye çalıştığını (Taktik) söyleyecek analiz yeteneğine sahip olup olmadığını veya eylemin nasıl gerçekleştirildiğine ilişkin ayrıntılar sağlayıp sağlamadığını (Teknik) gösterir.
MITRE, sonuçların yorumlanmasına yardımcı olacak bazı kaynaklar sağlar veya yaklaşan 2022 MITRE Engenuity ATT&CK® Değerlendirmeleri web seminerimize katılabilirsiniz: ATT&CK® Değerlendirmeleri 2022 sonuçlarını yorumlamaya ve anlamaya odaklanacak olan sonuçların kodunu çözme.
Bitdefender sonuçları
Satıcılar, MITRE’nin alt adımlarının her biri için aşağıdaki “notlardan” birini alırlar.
Yalnızca Genel, Taktik ve Teknik notları Analitik kapsamı için sayılır. Yüksek analitik kapsam, yalnızca doğru verileri (görünürlük) toplamakla kalmayıp aynı zamanda farklı sensörlerden toplanan olayları doğru bir şekilde ilişkilendirmek için gelişmiş analitik uygulayan satıcıları tanımlar. Kendi değerlendirmelerimizde “yüksek “i alt adımların %90’ından fazlasını kapsamak olarak tanımlıyoruz. Bu yıl sadece 7 tedarikçi analitik kapsam için bu kalite kriterini karşıladı.
ATT&CK® Değerlendirmelerinin dördüncü turu, Bitdefender’ın son derece eyleme geçirilebilir tespitler sağlama, verimli güvenlik operasyonları sağlama ve uyarı yorgunluğunu azaltma konusunda lider olduğunu doğruladı.
Bu sonuçlar için bir karşılaştırma sağlamak amacıyla, diğer tedarikçiler için ortalama analiz kapsamı %71 ve teknik düzeydeki açıklamalar için ortalama kapsam sadece %65’tir.
GÜNCELLEME 4/4/2022:
Bazı müşterilerimiz ve ortaklarımız “MITRE 2022 Sonuçları” hakkında sorular sordular: İnternette dolaşan “Genel Tespit ve Koruma” grafiği.
Her yıl, bazı satıcılar MITRE ve diğer değerlendirmelerin sonuçlarını yorumlarken yanıltıcı pazarlama uygulamaları kullanmaktadır. ATT&CK değerlendirmelerinin ana değeri, farklı güvenlik çözümlerinin tespit ve analiz yeteneklerine ilişkin içgörü sağlamasıdır. Koruma değerlendirmesi ATT&CK değerlendirmelerine yeni eklenmiştir ve satıcıların katılımı için isteğe bağlıdır.
Ne yazık ki, birçok satıcı bu yıl pazarlamalarını bu ikincil test sonuçlarına odaklamaya karar verdi ve bu teste katılmamayı seçen diğer satıcıları yanıltıcı bir şekilde dahil ederek bu satıcıların “puanlarının” ortalamasını sıfır olarak aldı. Hatta Help Net Security’de yaygın olarak dağıtılan bir makale, yayıncının verilerin doğruluğunu teyit edememesi nedeniyle kaldırılmıştır.
1. Katılımcılar ATT&CK değerlendirmelerine dahil olmak için ödeme yaparlar – ve “Koruma” değerlendirmesi satıcılardan ek ödeme gerektirir. Bitdefender da dahil olmak üzere birçok satıcı, diğer bağımsız testler önlemeye adanmış olduğu için bu koruma testinden çıkmayı seçti. Son aylarda ve yıllarda AV-Comparatives ve AV-TEST ile bu tür birçok test yaptığımız için, ek maliyet ve çabanın Bitdefender Labs ekibimiz için önemli bir araştırma değeri sağlamayacağı sonucuna vardık. MITRE ATT&CK testinde koruma testi için Bitdefender puanı 0 değil, “Uygulanamaz (N/A)” dır. Çözümümüzü diğer satıcılarla karşılaştırmak için AV-Comparatives veya AV-TEST gibi sitelerdeki bağımsız karşılaştırmalara bakmanızı öneririz.
2. Orijinal MITRE terminolojisini yeniden ifade eden satıcıların farkında olun. “Tespit Oranı” veya “Genel Tespit” olarak adlandırılan şey, MITRE tarafından “Görünürlük” olarak adlandırılan bir metriktir. Görünürlük, düşük bağlamlı (telemetri – ham veri) ve yüksek bağlamlı (ne olduğunu ve nasıl olduğunu anlama) tespitlerin bir kombinasyonudur. Yüksek görünürlük, güvenlik sağlayıcılarının doğru verileri topladığı anlamına gelir, ancak analitik yetenekler, uyarı yorgunluğuna yardımcı olma yeteneği hakkında hiçbir şey söylemez ve daha fazla sayıda yanlış pozitife eğilimlidir. Bir satıcı orijinal metrik adlarını örtmece sözcüklerle değiştirmeye karar verdiğinde bunu bir uyarı işareti olarak kabul edin (örneğin “telemetri “yi “kanıt sunma” olarak yeniden adlandırmak).
CISO’lar ve güvenlik ekipleri sonuçları nasıl yorumlayabilir?
Bu verileri değerlendirirken, ihtiyaçlarınızı anlayarak ve mevcut tehdit ortamında kuruluşunuz için en uygun olan teknikleri belirleyerek başlamanızı öneririz. Bu alıştırma, halihazırda uyguladığınız güvenlik kontrollerindeki boşlukları ve özel ihtiyaçlarınız için izlenecek temel metrikleri belirlemenize yardımcı olabilir. ATT&CK® çerçevesini etkin bir şekilde uygulamak için, bu çerçeveyi kendi iş önceliklerinize göre uyarlamanızı da tavsiye ederiz. Gartner, aldıkları bazı yaygın soruları ve ATT&CK çerçevesinin önde gelen uygulamalarını, yararlı bulabileceğiniz MITRE ATT&CK – ne işe yarıyor; neye ihtiyacınız var? başlıklı bu blog yazısında paylaşmaktadır.
Uç nokta tespit ve müdahale (EDR) ve genişletilmiş tespit ve müdahale (XDR) çözümlerinin temel değeri, tehdit aktörlerinin bekleme süresini en aza indirmektir. ATT&CK® Değerlendirmeleri, satıcıların doğru verileri (telemetri) toplayıp toplamadığını ve taktikleri ve teknikleri belirleyerek bu tespitlere bağlam sağlamak için gerekli analitik yeteneklere sahip olup olmadığını tanımlamada en değerlidir.
ATT&CK® değerlendirmeleri güvenlik çözümlerini değerlendirirken değerli bir araçtır, ancak bir kavram kanıtlama çalışmasının yerini tutmaz. ATT&CK test ortamı asgari boyuttadır ve değerlendirme maliyet, ne kadar gürültü oluştuğu (uyarı yorgunluğu) veya güvenlik çözümlerinin operasyonel hale getirilmesiyle ilgili zorluklar gibi faktörleri dikkate almaz. Ayrıca MITRE sonuçlarının AV-Comparatives ve AV-TEST gibi tehdit önleme odaklı diğer bağımsız 3. taraf testleriyle birlikte yorumlanmasını tavsiye ederiz.
Sonuçları değerlendirirken, yalnızca güvenlik sağlayıcılarının (hatta bizim bile!) yorumlarına güvenmek yerine kendi sonuçlarınızı çıkarmanızı öneririz. Bu yıl getirilen değişikliklerden biri, her alt adımın, o alt adım için tüm tespitler arasında analistlere sağlanan en yüksek bağlam düzeyini temsil eden tek bir tespit kategorisine sahip olmasıdır. Bu önemli bir değişikliktir çünkü bazı kategorilerde yüksek puan almak mutlaka olumlu bir işaret değildir. Örneğin, bir tedarikçi yüksek oranda telemetri kapsamına sahipse, bu, analitiklerinin temel telemetri verilerini zenginleştiremediği ve analitik kapsamının sınırlı olduğu anlamına gelebilir.
MITRE Engenuity ATT&CK® Değerlendirmeleri 2022 raporunda yer alan temel metrikler hakkında daha fazla bilgi edinmek için 6 Nisan 2022’deki Canlı Web Seminerimize katılın. ATT&CK® Değerlendirmelerinin ana katılımcılarından biri olan Dragos Gavrilut, metodoloji, temel metrikler ve siber dayanıklılığınızı artırmak için sonuçları nasıl kullanacağınız hakkındaki görüşlerini paylaşacak.
Bitdefender, 2001 yılında kurulan ve siber güvenlik alanında dünya çapında lider konumda olan bir şirkettir. Sınıfının en iyisi tehdit önleme, algılama ve yanıt çözümleri sunarak, milyonlarca tüketici, kurumsal ve hükümet ortamını korur. Şirket, kötü amaçlı yazılımlara karşı koruma, IoT güvenliği, yapay zeka ve davranışsal analiz gibi alanlarda öncü yeniliklere imza atar. Bitdefender Labs, her dakika yüzlerce yeni tehdit keşfederek günlük milyarlarca tehdit sorgusunu doğrular ve bu derin araştırma yatırımlarıyla sektördeki en güvenilir uzmanlardan biri olarak öne çıkar. Teknolojisi, dünyanın en tanınmış 180’den fazla teknoloji markası tarafından lisanslanmıştır ve 170’ten fazla ülkede geniş bir müşteri ağına sahiptir. Uzman yazar kadromuz, siber güvenlikteki en güncel tehditleri ve etkili çözümleri kullanıcılarla paylaşarak dijital dünyada daha güvenli bir ortam sağlamayı hedefler. Sürekli gelişen tehditlere karşı en iyi koruma yöntemlerini sunmak için yüksek bir tutku ve sorumluluk taşıyoruz.
Tümünü Görüntüle
29 Haziran 2022
10 Ağustos 2024
