CrowdStrike обеспечивает 100% покрытие по результатам MITRE Engenuity ATT&CK® Evaluations: раунд 5
CrowdStrike получил самый высокий результат по результатам двух последних оценок MITRE Engenuity ATT&CK® Evaluations подряд. Компания достигла 100% защиты, 100% видимости и 100% анализа обнаружения в оценке Enterprise Round 5 — что равно 100% предотвращению и остановке нарушений. CrowdStrike также достигла самого высокого уровня обнаружения в тестировании для поставщиков услуг управляемой безопасности.
Однако интерпретация результатов теста Round 5 может быстро стать очень запутанной из-за различных представлений результатов теста от каждого поставщика. В отличие от других сторонних аналитических компаний, MITRE не размещает поставщиков в квадранте или на графике, а также не предоставляет сравнительную оценку. Он оставляет интерпретацию на усмотрение каждого поставщика и самих клиентов, а это означает, что вы будете завалены новостями о «победе» в оценке.
У MITRE нет победителей или лидеров, есть только необработанные данные о возможностях защиты поставщика от известных или еще не известных угроз. Без более четких инструкций и контроля со стороны MITRE, результаты продолжат сбивать заказчиков с толку, учитывая различия между тестируемыми решениями и подходами к оценке.
Компания CrowdStrike использует результаты оценивания для дальнейшего совершенствования возможностей платформы CrowdStrike Falcon, а также для того, чтобы клиенты лучше понимали позицию компании в отношении кибербезопасности: Остановка нарушений требует полной видимости, обнаружения и защиты, которые действительно можно использовать в реальном сценарии.
Как следует интерпретировать результаты?
Во-первых, важно понимать нюансы двух типов оценивания, которые проводит MITRE: тестов с открытой и закрытой книгой.
Тестирование с открытой книгой для известных злоумышленников: Оценки предприятий MITRE ATT&CK, такие как недавний Round 5, предоставляют поставщикам за несколько месяцев до начала тестирования сведения об имитируемом злоумышленнике и его тактике, методах и процедурах (TTPs), а затем измеряют уровень защиты в тихой лабораторной среде.
Рисунок 1. CrowdStrike обнаруживает 143 (100%) шага при оценивании MITRE Engenuity ATT&CK Evaluation: Enterprise Round 5 с высококачественной аналитикой (Тактика и техника)
Не все результаты одинаковы, что трудно увидеть на сравнительной диаграмме, поскольку поставщики имеют возможность настраивать свои системы заранее и вносить изменения в конфигурацию «на лету» с помощью команд экспертов, которые могут работать за кулисами 24/7 в течение всего периода тестирования. Например, было зафиксировано, как производители обновляли операционные системы во время тестирования, тогда как другие вручную исправляли результаты или добавляли новый контекст и обнаружения.
Round 5 имитировал Turla, которую CrowdStrike классифицирует как VENOMOUS BEAR, изощренного злоумышленника, базирующегося в России. Учитывая их сложную тактику, лишь немногие поставщики смогли обнаружить все их хитрости, а средний показатель распознавания составил 83%. Качественное аналитическое обнаружение тактики и техники было еще меньше, средний показатель снизился до 66% — при этом CrowdStrike достиг полного 100% покрытия аналитическим обнаружением.
Высококачественная аналитика чрезвычайно важна, поскольку она дает представление о том, чего пытается достичь злоумышленник и как он пытается этого достичь. Качественное аналитическое обнаружение обеспечивает необходимый аналитикам контекст, что позволяет им тратить меньше времени на определение того, является ли оповещение истинным или ложным, а также дает представление о том, что пытается сделать злоумышленник. Благодаря выявлению тактик и методов, аналитики безопасности могут тратить время на то, что действительно важно: остановку нарушений.
На сравнительной диаграмме, подобной приведенной выше, невозможно понять, является ли предоставленная функция телеметрией с большим количеством шума или важным контекстом, добавленным к высокоточному оповещению.
Тестирование по закрытой книге для неизвестных злоумышленников: Тест MITRE для поставщиков услуг управляемой безопасности — это точный показатель того, как они будут защищать клиента в реальных условиях, без повторных проверок и без возможности искать дополнительные доказательства. Единственное сообщение, которое поставщики получают заранее, — это дата начала, без какой-либо информации об имитируемом оппоненте или его TTP. MITRE запускает тест, и вы получаете оценку покрытия.
Рисунок 2. CrowdStrike обнаружил 99% методов злоумышленника во время оценки MITRE ATT&CK для поставщиков услуг управляемой безопасности.
Чтобы найти партнера по кибербезопасности, стоит проанализировать и соотнести результаты многих различных тестов, которые используют различные TTP и заставляют продукты вести себя по-разному, чтобы выявить истинный результат работы платформы. Убедитесь, что вы проанализировали результаты как открытых, так и закрытых тестов, включая те, которые измеряют ложные срабатывания и производительность, и точно знаете, что делали поставщики, чтобы достичь своих результатов. Самое главное, убедитесь, что вы можете достичь таких же результатов в своем предприятии. Опытные злоумышленники не могут позволить себе такую роскошь, как предупреждение, а клиенты не имеют десятков людей, которые будут работать за кулисами над развертыванием их решений.
Остановить нарушения — это важно
Далее важно оценить, насколько эффективно поставщик может остановить злоумышленников без ручного вмешательства. В тесте с открытой книгой Round 5 средний показатель блокировки составил 86%, в то время как CrowdStrike защитил 100%. Еще важнее, чем покрытие, является понимание того, как были достигнуты такие результаты.
- Использовали ли они легко обходные сигнатуры или специальные средства обнаружения, требующие специальных знаний?
- Являются ли аналитические средства обнаружения и защиты высокоточными и пригодными для использования в масштабах предприятия?
- Как мы можем воспроизвести этот результат в своей среде?
Для сравнения, платформа CrowdStrike Falcon остановила 13 из 13 сценариев без каких-либо специальных знаний, используя продвинутый ИИ и поведенческий анализ. Это говорит о том, что профилактика на основе искусственного интеллекта будет такой же эффективной в вашей среде, как и в тестировании MITRE.
Как это все сочетается?
В конце концов, то, как платформа достигла своих результатов, имеет не меньшее значение, чем само покрытие. С помощью тестов с открытым исходным кодом, таких как Enterprise Evaluation Round 5, вы можете нанять достаточное количество экспертов, чтобы вручную добавить собственные теги, обнаружения и контекст для достижения идеального покрытия. Вот почему вы увидите, как поставщики кричат о своем покрытии из всех рупоров — ведь, на первый взгляд, многие из них добились успеха.
Все сравнительные диаграммы, включая те, что приведены выше, показывают лишь часть картины. Важно обратить внимание на детали: то, как вы это делаете, имеет такое же значение, как и то, что вы делаете. Если вы не можете достичь результатов в вашей среде, это просто цифра на сравнительной диаграмме. Это не может остановить злоумышленников и не может предотвратить нарушения.
Спросите своего поставщика, в том числе CrowdStrike, как они достигли своих результатов — и убедитесь, что они не применяли титанических ручных усилий, которые никогда не сработают в реальном мире. Также важно точно понимать, как выглядит полная спецификация материалов для воспроизведения результатов. Некоторые поставщики требуют сложного точечного развертывания продуктов, другие — дорогостоящего сочетания программного обеспечения и оборудования для сетевой безопасности, а третьи — значительных инвестиций в персонал.
Особенно тщательно следует рассматривать поставщиков, которые используют специальные тестовые конфигурации, которые невозможно воспроизвести в реальной производственной среде. Платформа CrowdStrike Falcon всегда поставляется с помощью единого легкого агента, который легко развертывается, легко управляется и никогда не требует перезагрузки. Мы укрепляем кибербезопасность, достигая лучших результатов с гораздо лучшей окупаемостью инвестиций.
Компания гарантирует качество своей платформы и превосходный охват как открытого, так и закрытого тестирования MITRE для известных и неизвестных противников, обеспечивая настоящее предотвращение взломов в реальном мире.
iIT Distribution является официальным партнером CrowdStrike, который отвечает за распространение и продвижение их продуктов на территориях Украины, Казахстана, Узбекистана, Грузии, Польши, Азербайджана, Эстонии, Литвы, Латвии, Кыргызстана, Молдовы и Таджикистана. Мы также оказываем профессиональную поддержку при проектировании и внедрении этих решений. Наша команда всегда готова предоставить нашим партнерам и клиентам всю необходимую информационную поддержку, касающуюся каждого продукта и решения. Мы также готовы ответить на все ваши вопросы и консультировать вас по всем вопросам, касающимся повышения эффективности работы вашей IT-инфраструктуры и обеспечения ее безопасности.
