Trend Micro: телеметрия для оценки поведения злоумышленников в контексте проводимой атаки.

Сейчас существует масса исследований и рейтингов, где оценивается степень надежности решений от разных вендоров в области информационной безопасности. Но некоторые компании этим не ограничиваются и собирают так называемую телеметрию для оценки поведения злоумышленников в контексте проводимой атаки.

MITRE ATT&CK сумели предложить очень удачную методику, содержащую известные тактики и алгоритмы, оформив это всё в виде матрицы. Этот инструмент успешно «прижился» в руках специалистов (особенно групп мониторинга и реагирования на инциденты), т.к. в их руках оказалось множество комбинаций сценариев для атак различной сложности. И для того, чтобы оценить решения различных производителей в контексте выявления атак на различных этапах, MITRE провели исследование с использованием матрицы ATT&CK и инструментов группы APT29.

Цель проведения такого рода анализа — увидеть наиболее значимые области контроля, а также детальность собираемых данных для последующего расследования (или threathunting’а, как его часто называют). Как говорит архитектор решений Николай Романов, «Оценка решений не предполагала показать, кто лучше, а кто хуже всех справился с имитацией атак. Важно было увидеть, какие тактики злоумышленников могут пройти через защиту от разных производителей, показать их готовность к отражению атак в современных реалиях, а также понять применимость решений в компаниях с различной степенью зрелости (например, понимание сложностей в обработке большого потока инцидентов и оценка того, как автоматизировать принятие решений по ним).

Участники тестирования, которые постоянно оценивают изменчивый ландшафт киберугроз, расследуют действия хакерских группировок, оказываются в числе лидеров. В случае с TrendMicro, мы сразу же показали отличные результаты, даже на этапе автоматического тестирования. Причем как в случае с отдельными техниками, так и в случае с комплексом собранных в целую череду атак мер». Методика проведённого тестирования была основана на техниках и тактиках, используемых достаточно известной группой APT29. Даже на первом этапе тестирования с использованием нашего нового сервиса XDR,

TrendMicro показал не только высокие результаты по обнаружению симулируемых активностей, но и незначительный уровень ложных срабатываний. После окончания этой стадии провайдеры могли внести поправки в настройки или даже изменения в код своих продуктов. Затем тестирование переходило на второй этап, при этом исследование проводилось как с помощью автоматических систем, так и с привлечением аналитиков.

«Участвовать в такого рода исследованиях критично важно, потому что в ходе тестов дается второй шанс — и внести необходимые изменения, чтоб улучшить детект атак. В реальном мире второго шанса нет, поэтому если злоумышленники пробьют защиту, то это повлечет за собой значительный ущерб. Во время всего тестирования TrendMicro показал себя отлично на всех этапах», — добавляет Николай.

15.05.2020

Какие IT-решения актуальны в кризис?