Comprendere il framework e le valutazioni MITRE ATT&CK – Parte 2

Capture Client offre le funzionalità messe in evidenza dal framework ATT&CK. Ecco come i CISO possono sfruttare queste funzionalità per definire e implementare la loro strategia di sicurezza.

By

(Nota: nella prima parte abbiamo spiegato come funziona la matrice MITRE ATT&CK e come vengono valutate l’efficacia e l’efficienza di rilevamento dei prodotti di sicurezza. Potete leggerla qui, se non l’avete già fatto.)

Con gli attacchi informatici in aumento su tutti i fronti, oggi più che mai è importante mantenere aggiornata l’infrastruttura di sicurezza. Per un responsabile della sicurezza delle informazioni (CISO) non è semplice scegliere la soluzione di cybersecurity adatta tra le tante offerte disponibili. Come può sapere se ottiene realmente le funzionalità di cui ha bisogno? Ecco alcuni suggerimenti utili:

  • Diffidate di soluzioni con troppi errori, ritardi e modifiche alla configurazione: i fornitori con un numero elevato di ritardi ottengono il rilevamento con mezzi che in genere non rientrano nel normale flusso di lavoro dello strumento, quindi anche il vostro personale dovrà fare la stessa cosa. Se un vendor presenta numerose modifiche alla configurazione, significa che ha dovuto modificare le proprie capacità di rilevamento nel corso del test. Cercate di capire se queste modifiche sono giustificate o se il test è stato manipolato.
  • Diffidate di soluzioni con numerosi dati di telemetria ma poche tecniche utilizzate: i fornitori che pubblicizzano un numero elevato di dati di telemetria, senza però disporre di numerose tecniche, offrono uno strumento che non automatizza la correlazione degli eventi. Ciò significa che dovrete farlo manualmente o che potrebbero verificarsi notevoli ritardi e imprecisioni per ottenere dati significativi. Tali ritardi comportano tempi di risposta più lunghi e quindi un rischio maggiore.
  • Diffidate dei fornitori che inventano un proprio sistema di punteggio: diversi fornitori offuscano risultati mediocri con statistiche e cifre per aumentarne la credibilità, ma che in realtà non hanno senso. Statistiche come “Contesto per avviso” e “100% di rilevamento” (quando un’analisi più approfondita mostra chiaramente che il rilevamento non è stato perfetto) non sono veritiere. Leggete quindi i dati con attenzione!

Capture Client e il framework MITRE ATT&CK

Capture Client di SonicWall è basato sulla tecnologia SentinelOne, che offre protezione autonoma per gli endpoint con antivirus di nuova generazione, EDR (rilevamento e risposta degli endpoint) e Deep Visibility. SentinelOne partecipa alle valutazioni MITRE ATT&CK dal 2018 e ha ottenuto i risultati migliori nelle valutazioni del 2022 (emulazione dei gruppi di minacce Wizard Spider e Sandworm). Qui di seguito vi spieghiamo brevemene come SentinelOne protegge dagli attacchi meglio di qualsiasi altro fornitore.

  1. La protezione autonoma blocca e risolve gli attacchi
    I team addetti alla sicurezza hanno bisogno di una tecnologia rapida, all’altezza di quella utilizzata dai criminali informatici. MITRE Protection determina la capacità di un fornitore di analizzare rapidamente i rilevamenti ed eseguire azioni correttive automatiche per proteggere i sistemi.
    Protezione al 100%: (9 su 9 test MITRE ATT&CK)
    Fonte: www.sentinelone.com
  2. I rilevamenti più utili sono quelli analitici
    I rilevamenti analitici sono rilevamenti contestuali basati su un set di dati più ampio e sono una combinazione di rilevamenti tecnici e tattici.
    Rilevamento al 100%: (19 su 19 fasi di attacco)
    Massima copertura analitica – 99%: (108 su 109 rilevamenti)
    Fonte: www.sentinelone.com
  3. I ritardi di rilevamento compromettono l’efficacia della sicurezza informatica
    Il tempo è un fattore critico quando si tratta di rilevare o neutralizzare un attacco. Per ridurre l’esposizione alle minacce, le aziende devono adottare funzioni di rilevamento in tempo reale e di correzione automatica nel loro programma di sicurezza.
    100% in tempo reale (0 ritardi)
    Fonte: www.sentinelone.com
  4. La visibilità garantisce il rilevamento di tutte le minacce
    La visibilità è l’elemento fondamentale di una soluzione EDR e un parametro essenziale per i risultati di MITRE Engenuity. Per comprendere cosa succede all’interno dell’azienda e individuare con precisione le minacce, la tecnologia di cybersecurity deve disporre della massima visibilità. I dati devono essere accurati e fornire una visione onnicomprensiva di cosa è successo, dove è successo e della persona responsabile, indipendentemente dalla connettività o dal tipo di dispositivo.

Conclusioni

Le valutazioni ATT&CK di MITRE Engenuity continuano a dare impulso al settore della sicurezza, offrendo l’adeguata visibilità e test indipendenti per le soluzioni EDR. Sia che siate un esperto di sicurezza o un professionista alle prime armi, è importante andare oltre i semplici numeri e ottenere una visione olistica di quali vendor sono in grado di fornire una visibilità elevata e rilevamenti di alta qualità, riducendo al contempo l’impegno del vostro team addetto alla sicurezza. I CISO riconosceranno che questi principi orientati al prodotto sono pienamente compatibili con lo spirito degli obiettivi di MITRE Engenuity:

  1. Visibilità e copertura EDR sono la vera posta in gioco: la caratteristica distintiva di una soluzione EDR avanzata è la sua capacità di utilizzare e correlare i dati in modo economico e su vasta scala sfruttando la potenza del cloud. Deve essere in grado di acquisire ogni dato pertinente, con un tasso di errore minimo o nullo, per fornire un’ampia visibilità al team SecOps. I dati, in particolare quelli relativi al rilevamento di tutti gli eventi, sono il requisito essenziale di una soluzione EDR e il parametro chiave di MITRE Engenuity.
  2. Il contesto e la correlazione basati su computer sono indispensabili: la correlazione è il processo che consente di creare relazioni tra innumerevoli punti di dati. Questo processo deve essere eseguito preferibilmente da computer e a velocità di macchina, in modo che gli analisti non perdano tempo prezioso per associare manualmente i dati. Inoltre, le correlazioni devono essere accessibili nel contesto originale per lunghi periodi di tempo, qualora necessario.
  3. Il consolidamento degli avvisi nella console è fondamentale: “Più segnale, meno rumore” descrive in poche parole la sfida per il SOC e i team di risposta agli incidenti, che spesso sono esposti a un sovraccarico di informazioni. Anziché inviare un avviso per ogni singolo dato telemetrico di un incidente, gravando sul team SOC già impegnato in altri lavori, una soluzione dovrebbe raggruppare automaticamente i punti di dati in avvisi consolidati. Nel migliore dei casi, una soluzione dovrebbe correlare le attività in avvisi unificati per fornire informazioni dettagliate a livello di campagna. In questo modo si limitano gli interventi manuali, si evita un’esposizione eccessiva agli avvisi e si abbassa notevolmente il livello di competenze necessarie per rispondere agli avvisi. Tutto ciò migliora le prestazioni del SOC, riducendo i tempi di contenimento e i tempi di risposta a livello complessivo.

Per scoprire come Capture Client offre protezione e rilevamento di altissimo livello, richiedete una prova gratuita qui.

This post is also available in: Inglese Portoghese Francese Tedesco Spagnolo

Suroop Chandran
Senior Product Manager | SonicWall
Suroop leads product management for the SonicWall Capture Client and SonicWall Web Application Firewall products and is the subject matter expert on reporting, alerting and dashboarding for the SonicWall Capture Security Center. With over 12 years of cybersecurity experience, Suroop has played multiple roles from being a security analyst in a SOC to building SOCs for Fortune 500 companies, to helping regional and global MSSPs develop their own SOC services.