Suroop Chandran

Entienda el framework y las evaluaciones de MITRE ATT&CK – Parte 2

Capture Client ofrece prestaciones avaladas por el framework ATT&CK. Le explicamos cómo los CISOs pueden utilizar estas prestaciones para definir e implementar su estrategia de seguridad.

By

(Nota: En la Parte 1, explicamos el framework MITRE ATT&CK y cómo se evalúan los productos por su eficacia y eficiencia de detección. Échele un vistazo aquí si todavía no lo ha visto.)

Con el aumento prácticamente generalizado de los ataques, asegurarse de que su sistema de seguridad esté actualizado es más importante que nunca. Sin embargo, como CISO, evaluar las soluciones de ciberseguridad de varios proveedores puede suponer un reto. ¿Cómo puede saber que realmente recibe la solución por la que ha pagado? Aquí tiene algunos consejos importantes:

  • Desconfíe de los errores, retrasos y cambios de configuración excesivos: Los proveedores que tienen numerosos retrasos se llevan el mérito por detecciones que realizan utilizando medios que normalmente se salen del flujo de trabajo habitual de la herramienta — lo cual significa que sus empleados tendrán que hacer lo mismo. Los proveedores con gran cantidad de cambios de configuración sintieron la necesidad de modificar sus prestaciones de detección durante la prueba. Intente averiguar si estos cambios son comprensibles o si la prueba fue manipulada.
  • Desconfíe de las altas cifras de Telemetría y bajas cifras de Técnicas: Los proveedores que presumen de altas cifras de Telemetría pero no tienen muchas Técnicas cuentan con una herramienta que no automatiza la correlación de los eventos. Esto significa que sus empleados deberán hacerlo manualmente o que pueden producirse retrasos e imprecisiones considerables a la hora de unir los puntos. Estos retrasos llevan a retrasos en la respuesta, que a su vez aumentan el riesgo.
  • Desconfíe de los proveedores que inventan sus propios sistemas de puntuación: Hemos visto a muchos proveedores disimular malos resultados con estadísticas y cifras que parecen positivas pero que en realidad no tienen ningún sentido. Estadísticas como “Contexto por Alerta” y “Detección del 100%” (cuando al mirar con más detalle se aprecia que claramente son detecciones fallidas) son un sinsentido. Lea la letra pequeña.

Capture Client y el Framework MITRE ATT&CK

SonicWall Capture Client está basado en SentinelOne, que proporciona la mejor protección autónoma de endpoints de su categoría, con antivirus de nueva generación, EDR (detección y respuesta para endpoints), y Visibilidad profunda. SentinelOne ha participado en las Evaluaciones de MITRE ATT&CK desde 2018, y en las de 2022 ha estado entre los mejores (emulando los grupos de amenazas Wizard Spider y Sandworm). A continuación ofrecemos un breve resumen de por qué SentinelOne es líder en protección contra los ataques, por delante de todos los demás proveedores.

  1. La protección autónoma detiene y resuelve los ataques de forma instantánea
    Los equipos de seguridad exigen soluciones capaces de seguir el ritmo de los cibercriminales. MITRE Protection determina la capacidad del proveedor de analizar rápidamente las detecciones y ejecutar resoluciones automatizadas para proteger los sistemas.
    Protección del 100%: (9 de 9 pruebas de MITRE ATT&CK)

    Fuente: www.sentinelone.com
  2. Las detecciones más útiles son las analíticas
    Las detecciones analíticas son detecciones contextuales creadas a partir de un conjunto de datos más amplio y combinan detecciones técnicas y tácticas.
    Detección del 100%: (19 de 19 pasos de ataques)
    99% – Máxima cobertura de análisis: (108 de 109 detecciones)
    Fuente: www.sentinelone.com
  3. Los retrasos en la detección minan la efectividad de la ciberseguridad
    El tiempo es un factor crítico tanto a la hora de detectar como de neutralizar un ataque. Las organizaciones que quieren reducir su exposición necesitan detecciones en tiempo real y resolución automatizada como parte de su programa de seguridad.
    100% en tiempo real (0 retrasos)
    Fuente: www.sentinelone.com
  4. La visibilidad asegura que ninguna amenaza pase desapercibida
    La visibilidad es el pilar de las prestaciones EDR y constituye un parámetro central de los resultados de MITRE Engenuity. Para entender lo que ocurre en la red y cazar amenazas con precisión, la tecnología de ciberseguridad debe ofrecer visibilidad. Los datos deben ser precisos y proporcionar una visión de extremo a extremo de lo que ha ocurrido, dónde ha ocurrido y quién ha sido, independientemente de la conectividad o el tipo de dispositivo.

Conclusión

Las evaluaciones de MITRE Engenuity ATT&CK siguen impulsando la industria de la seguridad, proporcionando al ámbito de la tecnología EDR una visibilidad y unas pruebas independientes muy necesarias. Como líder o profesional de seguridad, es importante ir más allá de las meras cifras y adoptar una visión integral de qué proveedores pueden proporcionar alta visibilidad y detecciones de alta calidad al tiempo que reducen la carga de su equipo de seguridad. A los CISOs, estos principios centrados en el producto les parecerán compatibles con el espíritu de los objetivos de MITRE Engenuity:

  1. La visibilidad y la cobertura de EDR son básicas y fundamentales: La base de una solución de EDR superior radica en su capacidad de consumir y correlacionar datos de forma económica y a escala aprovechando las ventajas de la nube. Cada dato pertinente debería ser capturado — con pocos errores o ninguno — para proporcionar amplitud de visibilidad al equipo de operaciones de seguridad. Los datos, específicamente los datos que capturan todos los eventos, son el pilar de la tecnología EDR y deberían ser considerados básicos y fundamentales y un parámetro clave de MITRE Engenuity.
  2. El contexto y la correlación creados automáticamente son indispensables: La correlación es el proceso de crear relaciones entre los puntos de datos individuales. Preferiblemente, la correlación debe ser realizada automáticamente por máquinas y a la velocidad de las máquinas, para que un analista no tenga que dedicar tiempo valioso a unir los datos manualmente. Además, esta correlación debería ser accesible en su contexto original durante largos periodos de tiempo por si fuera necesaria.
  3. La consolidación de las alertas en la consola es crítica: El principio de “centrarse en lo esencial” plantea un reto al centro de operaciones de seguridad y a los equipos IR modernos, que sufren una sobrecarga de información. En lugar de recibir alertas por cada dato de telemetría de un incidente y de sobrecargar al equipo del centro de operaciones de seguridad, ya saturado, asegúrese de que la solución agrupe automáticamente los puntos de datos en alertas consolidadas. Idealmente, una solución debe ser capaz de correlacionar la actividad relacionada en alertas unificadas para proporcionar una visión a nivel de campaña. Esto reduce el esfuerzo manual, ayuda contra la fatiga por las alertas y tiene la ventaja de que se requieren muchos menos conocimientos a la hora de responder a las alertas. Todo esto se traduce en mejores resultados para el centro de operaciones de seguridad en forma de tiempos de contención más breves y de una reducción general de los tiempos de respuesta.

Para ver de primera mano cómo Capture Client ofrece la mejor protección y detección de su categoría, acceda a una prueba gratuita haciendo clic aquí.

This post is also available in: Inglés Portugués, Brasil Francés Alemán Italiano

Suroop Chandran
Senior Product Manager | SonicWall
Suroop leads product management for the SonicWall Capture Client and SonicWall Web Application Firewall products and is the subject matter expert on reporting, alerting and dashboarding for the SonicWall Capture Security Center. With over 12 years of cybersecurity experience, Suroop has played multiple roles from being a security analyst in a SOC to building SOCs for Fortune 500 companies, to helping regional and global MSSPs develop their own SOC services.