Sākumlapa » Testi » MITRE ATT&CK Evaluations: kas tas ir un kāpēc tas ir vajadzīgs

MITRE ATT&CK Evaluations: kas tas ir un kāpēc tas ir vajadzīgs

Kaspersky risinājumi ir notestēti MITRE testā APT29 Evaluation. Šeit mēs izskaidrojam, kas tas ir par testu, kāpēc un kā tas tiek veikts un ko nozīmē tā rezultāti.

 

 

MITRE nav vienkārši uzņēmums, kas salīdzina drošības risinājumus. Tā ir bezpeļņas organizācija, kas par savu mērķi ir paziņojusi drošākas pasaules izveidi. Ikvienam, kurš patiešām ir saistīts ar kiberdrošības pasauli, tā galvenokārt ir zināma kā korporācija, kas apkopo un uztur plaši zināmo ievainojamību datu bāzi Common Vulnerabilities and Exposures (CVE). Pirms kāda laika tās eksperti izveidoja MITRE ATT&CK kiberdraudu matricu.

 

Kas ir MITRE ATT&CK

Kopumā MITRE ATT&CK ir publiska zināšanu bāze, kas apkopo mērķētu uzbrukumu taktiku un paņēmienus, ko izmanto dažādas kiberuzbrucēju grupas. Dati tiek uzrādīti matricas veidā, ar kuras palīdzību jūs varat redzēt, kā uzbrucēji iekļūst uzņēmumu infrastruktūrā, kā viņi tajā nostiprinās, kādus trikus viņi pielieto, lai novērstu viņu atklāšanu utt. Šeit jāpiebilst, ka mēs runājam par draudu matricu uzņēmumu IT infrastruktūrai, bet MITRE strādā pie vairākām citām matricām, tajā skaitā ar draudiem rūpniecības objektiem un mobilajām ierīcēm.

Tomēr MITRE ATT&CK nenozīmē tikai informācijas vākšanu zināšanu labad. Zināšanu bāze ļauj izveidot dažādu nozaru draudu modeļus un, vēl svarīgāk, parādīt, kādi zināmie draudi var tikt atvairīti ar noteiktiem risinājumiem un to kombinācijām. Teorētiski tas notiek šādi: uzņēmums, kas izvēlas risinājumus savas infrastruktūras aizsardzībai, projicē “kandidāta” iespējas uz ATT&CK matricu un aplūko, kādi faktiskie draudi paliek “neaizvērti”. Tāpat kā Bingo. Praksē, lai noteiktu, kurus draudus identificē konkrēts aizsardzības risinājums, MITRE veic regulāras pārbaudes, ko sauc par ATT&CK Evaluations.

 

Kas ir ATT&CK Evaluations un kā tie notiek

MITRE pētnieki izvēlas uzbrucēja prototipu un vairākas dienas emulē tā darbību testa telpā, kur darbojas pārbaudāmie risinājumi. Protams, viņi nekopē pagātnes uzbrukumus viens pret vienu – tas būtu pārāk vienkārši. Konkrēti uzbrucēju rīki mainās. Šīs pārbaudes mērķis ir saprast, kā risinājums atklāj dažādas uzbrukuma fāzes. Detalizēts raksts par ATT&CK novērtēšanas procesu un to, kā interpretēt testa rezultātus, atrodams Kaspersky korporatīvās vietnes sadaļā, kas veltīta MITRE ATT&CK.

 

Kādi produkti ir pārbaudīti un kādi ir rezultāti?

Pašreizējā testa fāze tiek saukta par APT29 Evaluation: pētnieki emulē kiberuzbrucēju grupu APT29* , kas pazīstama arī kā CozyDuke, Cozy Bear un The Dukes. Šajā posmā tika pārbaudīts Kaspersky Endpoint Detection and Response, kā arī pakalpojums Kaspersky Managed Protection. Ja jūs interesē kāda bija risinājumu konfigurācija, tad šajā rakstā varat izlasīt par konkrētiem iestatījumiem.

Kopumā Kaspersky risinājumi atklāja lielāko daļu no pētnieku emulētajiem paņēmieniem. Kiberuzbrucēju galvenie triki ļaunprātīga koda izpildes, nostiprināšanās sistēmā, privilēģiju eskalācijas un izplatīšanās fāzēs tika atklāti ar augstu precizitātes pakāpi. Sīkāku informāciju par rezultātiem un to interpretāciju lasiet Kaspersky korporatīvās vietnes sadaļā Round 2 (APT29) Evaluation results un preses paziņojumā “Kaspersky uzņēmumu drošības risinājuma kvalitāte ir pierādīta MITRE ATT&CK ® novērtējumā“.

*APT29 (CozyDuke, Cozy Bear un The Dukes) ir kiberuzbrucēju grupa, kuru eksperti pasaulē saista ar Krievijas valdības dienestiem. Kaspersky Globālā izpētes un analīzes komanda (GReAT), kas šobrīd seko simtiem dažādu APT, ir publicējusi pētījumus arī par APT29, piemēram, The CozyDuke APT.

 

Birkas:
Iepriekšējais raksts
Nākošais raksts

Komentēt

Jūsu e-pasts netiks publicēts. Obligātie lauki ir iezīmēti *

*

29 + = 39

Uz augšu