Entenda a estrutura e as avaliações do MITRE ATT&CK – Parte 2

O Capture Client oferece recursos realçados pela estrutura ATT&CK. Veja como os CISOs podem potencializar esses recursos para definir e implementar sua estratégia de segurança.

By

(Observação: Na Parte 1, explicamos a estrutura do MITRE ATT&CK e como os produtos de segurança são avaliados em termos de eficácia e eficiência de detecção. Confira aqui se ainda não tiver visto).

Com os ataques crescendo e atingindo quase todos os setores, certificar-se de que sua postura de segurança está atualizada nunca foi tão importante. Mas como um CISO, explorar as diversas posições dos fornecedores de segurança cibernética pode ser um verdadeiro desafio. Como você pode saber se está realmente recebendo o que pagou para ter? Veja aqui alguns indicadores críticos:

  • Desconfie de erros, atrasos e mudanças nas configurações em excesso: Os fornecedores que apresentam muitos atrasos recebem os créditos por detecções que utilizam meios tipicamente externos ao fluxo de trabalho normal da sua ferramenta – o que significa que seu pessoal terá de fazer o mesmo. Fornecedores que precisam de muitas mudanças nas configurações sentiram a necessidade de mudar seus recursos de detecção no meio dos testes. Tente compreender se essas mudanças são compreensíveis ou se os testes estão sendo manipulados.
  • Desconfie de números altos na Telemetria e baixos nas Técnicas: Fornecedores que se vangloriam de seus ótimos números na Telemetria sem muitas Técnicas têm uma ferramenta que não automatiza a correlação entre eventos. Isto quer dizer que seu pessoal terá de fazer isto manualmente ou que poderá haver atrasos significativos e imprecisões ao ligar os pontos. Atrasos nesse momento causam atrasos na resposta e consequentemente, mais riscos.
  • Desconfie de fornecedores que inventam seus próprios sistemas de pontuação: Já presenciamos muitos fornecedores ofuscando resultados negativos com estatísticas e números que melhoram a aparência mas não fazem qualquer sentido. Estatísticas como “Contexto por alerta” e “100% de Detecção” (quando uma análise mais detalhada mostra claramente que detecções passaram em branco) são uma bobagem. Leia nas entrelinhas.

O Capture Client e a estrutura do MITRE ATT&CK

O Capture Client da SonicWall é alimentado pelo SentilenOne, que oferece a melhor proteção autônoma de endpoints da categoria, com antivírus de última geração, EDR (detecção e resposta de endpoints) e Visibilidade Aprofundada. O SentilenOne tem sido parte das avaliações do MITRE ATT&CK desde 2018 e apresentou desempenho superior nas Avaliações de 2022 (emulando os grupos de ameaças Wizard Spider e Sandworm). Veja aqui um rápido resumo de como o SentilenOne lidera a proteção contra os ataques melhor do que qualquer outro produto.

  1. Proteção autônoma interrompe ataques e repara danos imediatamente
    As equipes de segurança precisam de uma tecnologia que acompanhe o ritmo acelerado em que seus adversários operam. O MITRE Protection determina a capacidade do fornecedor de analisar rapidamente as detecções e executar reparos automatizados dos danos, para proteger os sistemas.
    100% de proteção: (9 de 9 testes com o MITRE ATT&CK)
    Fonte: www.sentinelone.com
  2. As detecções mais úteis são as analíticas
    As detecções analíticas são detecções contextuais desenvolvidas a partir de um conjunto de dados mais amplo e são uma combinação de técnicas e detecções táticas.
    100% de detecção: (19 de 19 etapas de ataques)
    99% de resultados – a mais alta cobertura analítica: (108 de 109 detecções)
    Fonte: www.sentinelone.com
  3. Atrasos nas detecções reduzem a eficácia da cibersegurança
    O tempo é um fator crítico quando você está detectando ou neutralizando um ataque. Organizações que pretendem reduzir sua exposição devem contar com detecções em tempo real e reparação de danos automatizada, como parte do seu programa de segurança.
    100% de resultados em tempo real (0 Atrasos)
    Fonte: www.sentinelone.com
  4. A visibilidade assegura que nenhuma ameaça deixe de ser detectada
    A visibilidade é o bloco de construção de EDR e é uma das principais métricas entre os resultados do MITRE Engenuity. Para compreender o que está acontecendo no empreendimento, além de detectar as ameaças com precisão, a tecnologia de segurança cibernética precisa criar uma abertura para a visibilidade. O dados devem ser precisos e proporcionar uma visão de ponta a ponta do que aconteceu, onde aconteceu e quem foi o responsável, não importando a conectividade ou o tipo de dispositivo.

Conclusão

As avaliações MITRE Engenuity ATT&CK continuam impulsionando o setor de segurança à frente, oferecendo a tão necessária visibilidade e testes independentes ao espaço de EDR. Como líder ou profissional na área de segurança, é importante ir além de um simples jogo de números para ter uma visão holística dos fornecedores capazes de fornecer alta visibilidade e detecções de alta qualidade, ao mesmo tempo reduzindo o ônus da sua equipe de segurança. Os CISOs irão achar esses princípios centrados em produto compatíveis com o espírito dos objetivos do MITRE Engenuity:

  1. Visibilidade e cobertura em EDR são suas fichas na mesa: O alicerce de uma solução de EDR superior está na sua capacidade de consumir e correlacionar dados de forma econômica e em escala, explorando o poder da nuvem. Todos os dados pertinentes devem ser capturados – com poucos ou nenhum erro – para proporcionar uma amplitude de visibilidade para a equipe de SecOps. Dados, especificamente capturando todos os eventos, são os blocos de construção da EDR e devem ser considerados suas fichas na mesa e uma métrica fundamental do MITRE Engenuity.
  2. Contexto e correlações construídos por máquina são indispensáveis: A correlação é o processo de desenvolvimento de relações entre pontos de dados atômicos. De preferência, a correlação deve ser feita por máquinas e à velocidade de máquina, de forma que o analista não perca tempo precioso associando dados manualmente. Além disso, essa correlação deve ser acessível em seu contexto original por longos períodos, se necessário.
  3. A consolidação de alertas no console é crítica: “Mais sinal, menos ruído” é um desafio para as equipes atuais de SOC e IR que enfrentam a sobrecarga de informações. Em vez de receber alertas de todos dados da telemetria no âmbito de um incidente e extenuar a já sobrecarregada equipe de SOC, é preciso se certificar de que a solução agrupa automaticamente pontos de dados em alertas consolidados. O ideal é que a solução possa correlacionar atividades relacionadas em alertas unificados, para gerar perspectiva em nível de campanha. Isso reduz o esforço manual, ajuda com a fadiga de alertas e reduz significativamente a barreira do conjunto de competências ao responder aos alertas. Todos esses recursos levam a resultados melhores para a SOC na forma de diminuição nos tempos de contenção e uma redução geral dos tempos de resposta.

Para ver um exemplo de como o Capture Client oferece a melhor proteção e detecção da categoria, clique aqui e faça um teste gratuito.

This post is also available in: Inglês Francês Alemão Spanish Italiano

Suroop Chandran
Senior Product Manager | SonicWall
Suroop leads product management for the SonicWall Capture Client and SonicWall Web Application Firewall products and is the subject matter expert on reporting, alerting and dashboarding for the SonicWall Capture Security Center. With over 12 years of cybersecurity experience, Suroop has played multiple roles from being a security analyst in a SOC to building SOCs for Fortune 500 companies, to helping regional and global MSSPs develop their own SOC services.