MITRE-ATT&CK-Framework und -Evaluierungen verstehen – Teil 2
(Hinweis: In Teil 1 haben wir uns das MITRE-ATT&CK-Framework näher angeschaut und erklärt, wie Sicherheitsprodukte auf ihre Wirksamkeit und Effizienz bei der Erkennung von Bedrohungen geprüft werden. Werfen Sie doch einen Blick hinein, falls noch nicht geschehen.)
Da Cyberangriffe in praktisch allen Bereichen zunehmen, war es noch nie so wichtig, Ihr Sicherheitskonzept auf dem Laufenden zu halten. Doch für CISOs ist es alles andere als leicht, bei den vielen verschiedenen Cybersecurity-Produkten den Überblick zu behalten. Wie können Sie sicherstellen, dass Sie genau das bekommen, wofür Sie bezahlen? Wir haben ein paar wichtige Tipps für Sie zusammengestellt:
- Seien Sie vorsichtig bei einer hohen Zahl an nicht erkannten Bedrohungen, Verzögerungen und Konfigurationsänderungen: Viele Anbieter behaupten, dass ihre Tools eine hohe Erkennungsrate aufweisen, doch tatsächlich wurden viele der Ereignisse außerhalb des normalen Workflows identifiziert. Das bedeutet, dass auch Ihre Mitarbeiter über ihren regulären Workflow hinausgehen müssten, um diese Ereignisse zu erkennen. Anbieter mit vielen Konfigurationsänderungen sahen es als notwendig an, ihre Erkennungsfunktionen mitten im Test zu modifizieren. Versuchen Sie zu verstehen, ob diese Änderungen nachvollziehbar sind oder ob die Anbieter hier für den Test getrickst haben.
- Seien Sie vorsichtig bei einer großen Anzahl an Telemetriedaten und wenigen Daten zu den Methoden: Anbieter, die mit ihren vielen Telemetriedaten prahlen, aber nur wenig zur Methode angeben, nutzen ein Tool, das keine automatisierte Zuordnung von Ereignissen bietet. Das bedeutet, dass Ihre Mitarbeiter dies manuell tun müssen oder dass es bei der Verknüpfung der einzelnen Punkte zu signifikanten Verzögerungen und Ungenauigkeiten kommen könnte. Verzögerungen führen zu längeren Reaktionszeiten und das bedeutet wiederum mehr Risiken.
- Seien Sie vorsichtig bei Anbietern, die ihre eigenen Bewertungssysteme erfinden: Wir haben schon viele Anbieter gesehen, die schlechte Ergebnisse mit Statistiken und Zahlen zu verschleiern versuchen, die sie in einem guten Licht darstellen, aber in Wahrheit völliger Unfug sind. Angaben wie „Kontext pro Meldung“ und „100%ige Erkennung“ (wenn bei genauem Hinsehen klar wird, dass manche Bedrohungen einfach übersehen wurden) sind unsinnig. Lesen Sie das Kleingedruckte.
Capture Client und das MITRE-ATT&CK-Framework
Capture Client von SonicWall basiert auf SentinelOne, einer Technologie, die einen erstklassigen autonomen Endpoint-Schutz mit Next-Gen-Antivirenlösung, EDR (Endpoint Detection and Response, Erkennung von Bedrohungen auf Endgeräten und Einleitung angemessener Reaktionen) und Deep Visibility bietet. SentinelOne nimmt seit 2018 an den MITRE-ATT&CK-Evaluierungen teil und gehörte 2022 zu den Top-Performern (Emulation der Bedrohungsgruppen Wizard Spider und Sandworm). Hier ein kurzer Überblick darüber, warum SentinelOne einen besseren Schutz vor Angriffen gewährleistet als alle anderen Anbieter.
- Autonomer Schutz stoppt und neutralisiert Attacken unverzüglich
Sicherheitsteams wünschen sich Lösungen, die sich genauso schnell weiterentwickeln wie die Methoden der Cyberkriminellen. Bei der MITRE-Evaluierung wird getestet, wie schnell die Produkte der Anbieter erkannte Ereignisse analysieren und eine automatisierte Problembehebung durchführen, um Systeme zu schützen.
100%iger Schutz: (9 von 9 MITRE-ATT&CK-Tests)
Quelle: www.sentinelone.com - Am besten ist es, wenn Bedrohungen auf der Grundlage von Analysen erkannt werden
Werden Bedrohungen mittels Analysen erkannt, handelt es sich um kontextbezogene Erkennungen, die auf Basis einer großen Menge an Daten erzielt werden und sich sowohl auf Techniken als auch auf Taktiken beziehen.
100%ige Erkennungsrate: (19 von 19 Angriffsschritten)
99 % – höchste Rate an analysebasierter Bedrohungserkennung: (108 von 109 erkannten Ereignissen)
Quelle: www.sentinelone.com - Verzögerungen bei der Erkennung von Bedrohungen beeinträchtigen die Cybersecurity-Effektivität
Bei der Erkennung und Neutralisierung von Angriffen spielt Zeit eine kritische Rolle. Organisationen, die das Risikozeitfenster verkleinern möchten, sollten Funktionen zur Echtzeiterkennung und automatisierten Problembehebung in ihr Sicherheitsprogramm integrieren.
100 % Echtzeit (0 Verzögerungen)
Quelle: www.sentinelone.com - Eine hohe Transparenz stellt sicher, dass keine Bedrohung unbemerkt bleibt
Transparenz ist ein wichtiger Baustein von EDR-Funktionen und eine zentrale Kennzahl im Rahmen der MITRE-Engenuity-Tests. Um zu verstehen, was im Netzwerk passiert und Bedrohungen präzise aufzuspüren, müssen Cybersicherheitstechnologien umfassende Einblicke ermöglichen. Die Daten müssen sehr genau sein und Aufschluss darüber geben, was passiert ist, wo es passiert ist und von wem diese Ereignisse ausgingen – unabhängig von Geräteverbindung oder ‑typ.
Fazit
Die MITRE-Engenuity-ATT&CK-Evaluierungen sorgen für eine dringend benötigte Transparenz im EDR-Bereich. Die unabhängigen Tests sind extrem wichtig für die Sicherheitsbranche. Mitarbeiter oder Verantwortliche im Sicherheitsbereich sollten über die alleinige Nutzung von Zahlen hinausgehen und einen ganzheitlichen Blick darauf werfen, welche Anbieter eine hohe Transparenz und Erkennungsrate ermöglichen und dabei gleichzeitig ihre Sicherheitsteams entlasten. Diese produktorientierten Grundsätze orientieren sich an den MITRE-Engenuity-Zielen:
- Transparenz und Umfang von EDR-Funktionen sind absolut kritisch: Wirklich gute EDR-Lösungen sind in der Lage, Daten mithilfe der Cloud wirtschaftlich und in großem Umfang zu nutzen und Zusammenhänge herzustellen. Alle relevanten Daten sollten erfasst werden – es sollten keine oder zumindest nur sehr wenige übersehen werden –, um dem SecOps-Team umfassende Transparenz zu bieten. EDR-Lösungen sind auf umfangreiche Daten sowie die Erfassung sämtlicher Ereignisse angewiesen. Dies sind absolute Mindestvoraussetzungen und stellen eine wichtige MITRE-Engenuity-Kennzahl dar.
- Maschinell erstellter Kontext bzw. maschinell erzeugte Korrelationen sind unerlässlich: Korrelationen bedeuten, Zusammenhänge zwischen atomaren Datenpunkten herzustellen. Vorzugsweise wird eine Korrelation durch Maschinen und in Maschinengeschwindigkeit erzeugt, sodass Analysten keine wertvolle Zeit damit verlieren, Daten manuell zu verknüpfen. Darüber hinaus sollten Korrelationen für den Fall, dass sie benötigt werden, über einen langen Zeitraum in ihrem Originalkontext zugänglich sein.
- Die Konsolidierung von Warnmeldungen ist das A und O: „Fokus auf das Wesentliche“ ist nicht immer einfach für SOC- und moderne IR-Teams, die es mit einer regelrechten Informationsüberflutung zu tun haben. Anstatt Warnmeldungen zu jedem Telemetriedatensatz im Rahmen eines Vorfalls zu erhalten und bereits viel beschäftigte SOC-Teams weiter zu überlasten, sollten Sie eine Lösung wählen, die Datenpunkte automatisch in konsolidierten Warnmeldungen gruppiert. Idealerweise sollte die Lösung zusammenhängende Aktivitäten in zentralen Warnmeldungen zusammenführen, die Informationen auf Kampagnenebene bereitstellen. Dies reduziert den manuellen Aufwand, wirkt Alert-Fatigue entgegen und hat den Vorteil, dass wesentlich weniger Kenntnisse nötig sind, um auf Meldungen zu reagieren. All das bietet dem SOC deutliche Vorteile in Form von kürzeren Eindämmungszeiten und insgesamt reduzierten Reaktionszeiten.
Wenn Sie die erstklassigen Erkennungs- und Sicherheitsfunktionen von Capture Client aus erster Hand erleben möchten, klicken Sie hier und laden Sie die kostenlose Testversion herunter.
Vertrauen Sie unseren Firewalls. Sie haben die schwierigsten Prüfungen bestanden
(und zwar nicht nur einmal)
Neben der EDR-Engine von SentinelOne, die als Goldstandard gilt, umfasst Capture Client auch Capture Advanced Threat Protection (ATP) – die cloudbasierte Multi-Engine-Sandbox von SonicWall. Wenn Sie mehr über unsere unglaubliche Leistung beim ICSA-Test in Form von fünf perfekten Ergebnissen in Folge erfahren möchten, laden Sie unsere Lösungsübersicht „Effiziente Sicherheit und höchste Perfektion: SonicWall setzt neue Maßstäbe beim Bedrohungsschutz“ herunter.