santiago silver - Fotolia

Noticias Manténgase informado sobre las más recientes actualizaciones de productos y noticias de tecnología empresarial.

Mitre entra en fase de pruebas de producto con el marco Mitre ATT&CK

La primera ronda de evaluaciones con el marco de Mitre ATT&CK se hizo pública a finales de 2018, mostrando cómo diferentes productos de punto final detectan actividades avanzadas de amenaza.

Mitre ha entrado en la pelea de pruebas y evaluación de productos de seguridad, y la organización está utilizando su marco Mitre ATT&CK para juzgar a los proveedores.

Siete proveedores de productos de detección y respuesta de puntos finales (EDR) enviaron sus productos de seguridad de puntos finales a Mitre para las pruebas de evaluación. El objetivo de la evaluación fue demostrar cómo los productos de detección y respuesta de puntos finales respondían a la actividad avanzada de actores de amenazas a través del marco de Mitre ATT&CK, o Adversarial Tactics, Techniques and Common Knowledge. En este caso, las evaluaciones simularon técnicas de ataque que han sido utilizadas por el actor de amenazas APT3/Gothic Panda, que ha estado activa durante los últimos años utilizando el spear phishing y otras tácticas y técnicas para obtener acceso a las organizaciones de víctimas.

The Mitre Corp., una organización de investigación y desarrollo sin fines de lucro con sede en Maclean, Virginia, administra el sistema de vulnerabilidades y exposiciones comunes (CVE). La organización desarrolló Mitre ATT&CK como una base de conocimientos de tácticas y técnicas adversas que se pueden usar para marcar los ataques en curso, especialmente cuando los atacantes eliminan el malware y optan por piratear los sistemas de forma activa utilizando una combinación de ataques y técnicas contra sistemas vulnerables.

Mitre dijo que el programa de evaluación de productos está destinado a "ayudar a sus patrocinadores gubernamentales y la industria a tomar decisiones más informadas para combatir las amenazas de seguridad y mejorar las capacidades de detección de amenazas de la industria". Sin embargo, la organización también enfatizó que el propósito de las pruebas no era encontrar un "ganador". En su página de resultados, Mitre señaló que las "evaluaciones no son un análisis competitivo. No hay puntuaciones, clasificaciones ni calificaciones. En cambio, mostramos cómo cada proveedor se acerca a la detección de amenazas en el contexto de la matriz de ATT&CK".

Los proveedores elogian el proceso de evaluación de Mitre ATT&CK

Participaron en la primera fase de las pruebas los proveedores de EDR Carbon Black Inc., CounterTack Inc., CrowdStrike, Endgame, Microsoft, RSA y SentinelOne; mientras que Cybereason y FireEye ya se han registrado para la siguiente fase de prueba. Un giro interesante en el proceso de prueba fue que Mitre requirió que todos los productos de los proveedores estuvieran configurados para emitir alertas solamente, porque las pruebas midieron qué tan bien los productos podrían detectar ataques activos. Habilitar las funciones de "respuesta" cerraría los ataques activos en proceso, dijo Mitre.

Mark Dufresne, vicepresidente de investigación y desarrollo de Endgame, dijo a nuestra publicación hermana SearchSecurity: "creemos que lo hicimos muy bien" y, aunque observó que su equipo no estaba de acuerdo con algunos de los resultados, en general, el proceso de prueba y la evaluación fueron muy justos, en parte porque la evaluación no se centró en los rankings o puntuaciones. En cambio, los resultados se trataron como datos adicionales para incorporarlos a la base de conocimientos de Mitre ATT&CK.

"Las pruebas fueron bien organizadas, los datos se capturaron a fondo y la finalización de los resultados fue justa y colaborativa", escribió Dufresne en una publicación del blog. "Este último punto es especialmente digno de mención, dada la gran cantidad de matices y la falta inherente de cualquier ‘modo correcto’ universal para abordar gran parte de ATT&CK".

"El enfoque de prueba de aprovechar una campaña completa del estado-nación fue muy útil", dijo Shlomi Salem, gerente del grupo de investigación en SentinelOne, quien elogió la minuciosidad de las evaluaciones de Mitre ATT&CK. "En total, se usaron 20 etapas diferentes en dos tipos de ataques diferentes. Tener la capacidad de detectar, correlacionar automáticamente y responder a todas las etapas del ataque en el contexto de una historia de amenaza única fue fundamental para los defensores".

Mike Davis, CTO de CounterTack, aprobó el proceso. "El marco de Mitre ATT&CK es lo mejor que hemos visto, ya que es verdaderamente representativo de los patrones de ataque del mundo real", dijo. "El simple hecho de comprender los diversos detalles de ATT&CK es un gran paso positivo, ya que brinda a los profesionales de la ciberseguridad los conocimientos necesarios sobre los ataques avanzados y de larga duración".

Amy Blackshaw, directora de marketing de productos de RSA, también se mostró entusiasmada con la incursión de Mitre en las pruebas de productos de seguridad. "La evaluación de Mitre ATT&CK fue una de las mejores evaluaciones de productos en las que hemos participado. La naturaleza objetiva de la evaluación asignó ataques de la vida real a las capacidades del producto, en lugar de solo probar si el producto detectó malware", dijo. "Al mapear las capacidades y técnicas utilizadas en campañas sofisticadas de la vida real, Mitre ayudó a todos los profesionales de la seguridad a comprender mejor las fortalezas de todas las herramientas probadas".

"Este tipo de pruebas abiertas en el mundo real es muy importante en nuestra industria", dijo Scott Taschler, director de marketing de productos en CrowdStrike. "Las pruebas de Mitre llevan a la conclusión de que los adversarios son expertos en el uso de herramientas nativas y en ocultar sus ataques para mezclarse con las actividades diarias normales. La prueba de emulación de adversarios de Mitre es el primer intento exitoso de mostrar cómo se comportan las tecnologías de seguridad de hoy en día cuando enfrentan un ataque simulado del mundo real, de espectro completo."

El proceso de evaluación no competitivo de Mitre ATT&CK contrasta con el reciente rencor sobre las pruebas de software de ciberseguridad realizadas por NSS Labs Inc. En septiembre pasado, NSS Labs presentó una demanda antimonopolio contra CrowdStrike, Symantec y ESET, así como la Organización de Normas de Pruebas Anti-Malware. La demanda acusa a esas organizaciones de trabajar juntas para impedir las pruebas de productos por parte de NSS Labs.

Investigue más sobre Las amenazas de seguridad de la información

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close