Immagine di sfondo incolonnate con cartelle 3D

Articolo del blog:

Risultati MITRE ATT&CK Evaluation 2022.

Dal 2019 collaboriamo con Cynet, una tecnologia rivoluzionaria per migliorare le capacità di detection degli endpoint. L’evoluzione dell’antivirus per rispondere alle necessità di bloccare attacchi più articolati che evadono i classici motori antivirus basati su firme digitali. 

Che cos’è il MITRE ATT&CK framework

MITRE ATT&CK® è un sito di condivisione pubblica di conoscenza e informazioni sulle tattiche e tecniche utilizzate dal cyber crime basate su osservazioni del mondo reale, accessibile a livello globale.
Con la creazione di ATT&CK®, MITRE sta realizzando la sua missione di risoluzione dei problemi per un mondo più sicuro, riunendo le comunità per sviluppare una sicurezza informatica più efficace. ATT&CK è aperto e disponibile per qualsiasi persona o organizzazione ad uso gratuito.

Cynet fra i best vendor secondo gli score del MITRE

Cynet XDR si qualifica fra le migliori tecnologie del momento

L’importanza dei rilevamenti di qualità:

È importante notare che non tutti i rilevamenti sono uguali in queste valutazioni. MITRE Engenuity ha designato vari tipi di rilevamenti, con livelli di contesto significativamente diversi. La qualità dei rilevamenti di una soluzione sarà probabilmente differente tra i registri di telemetria che passano inosservati e le capacità di detection che forniscono i contesti per gestire una criticità. Pertanto, anche la qualità dei risultati dei test sarà diversa tra i vari vendor. Di seguito un grafico descrittivo dei vari tipi di rilevamenti:

Le categorie di rilevamento di Engenuity MITRE classificano i rilevamenti in base alla quantità di contesti forniti. Fonte immagine Palo Alto.
Le categorie di rilevamento di Engenuity MITRE classificano i rilevamenti in base alla quantità di contesti forniti. Fonte immagine Palo Alto.

Le categorie di rilevamento del MITRE sono di seguito descritte:

  • Nessuna: nessuna telemetria raccolta;
  • Telemetria: avviene una registrazione di base dell’attività;
  • Generale: rilevamenti di questo tipo lasciano al cyber analist il compito di indagare e determinare quale azione è stata eseguita e perché;
  • Tattica: rilevamenti del genere segnalano quale tattica nella tabella del MITRE si sta usando; anche in questo caso si possono prevedere delle analisi aggiuntive da parte di uno specialista cyber;
  • Tecnica: tali rilevamenti forniscono tutti i dettagli per capire chi ha eseguito un’azione e in particolare quali azioni sono state utilizzate.

I risultati dei test del MITRE Engenuity identificano due tipi di copertura: Copertura telemetrica e Copertura analitica. E’ difficile quindi intepretare i risultati in maniera assoluta. Semplificando, possiamo “quasi” affermare che, mentre la telemetrica fornisce i dettagli sulle prime fasi di un attacco, l’analitica ne copre i dettagli nelle sue sotto fasi (in special modo in Tecnica & Tattica). Alcune soluzioni potrebbero pertanto avere score differenti a seconda della copertura analitica o telemetrica.

La complessità della cyber e perchè è sempre più importante affidarsi ad uno specialista

I risultati del MITRE fanno capire in modo inequivocabile come soluzioni leader di mercato e complesse abbiano una sempre maggior necessità di un team di specialisti capaci di sintetizzarne i logs, gli eventi e correlarne i dati in maniera appropriata. SimplyIT ha capacità storiche nella gestione di questa piattaforma, che fra tutte si è distinta in questo tipo di test. I test del MITRE sono importanti perchè di fatto sono “la bibbia” per gli addetti del settore. Le soluzioni software, sempre più orientate a concetti AI/Machine Learning e all’automazione, si dimostrano di fatto non ancora sufficienti nel contesto cyber, vista l’assenza un team di specialisti che ne sappiano governare le logiche e interpretare i dati raccolti.

E’ possibile visualizzare i risultati dei test al seguente link.

Focus: l’importanza di una soluzione olistica

I campioni, le tecniche, i malware utilizzati per i test 2022 provengono dai celebri Wizard Sniper & Sandworm Team. I test effettuati, per la natura dei malware usati a campione, che nel corso del 2021 hanno messo sotto importante stress la cyber security, non sfruttano tutte le capacità di detection di un XDR come Cynet. Proprio per la tipologia dell’attacco, infatti, alcune capacità dell’XDR sono state escluse dai test. Una copertura totale è importante per determinare una capacità di dection migliore. A titolo di esempio, le seguenti funzionalità non sono state coinvolte dai test:

USER BEHAVIOUR

Behavioral engagement, per determinare tentativi di compromissioni o backdoor già presenti in sistemi attaccati; possibilità di creare regole di profilazione dinamica del comportamento per rilevare anomalie.

DECEPTION O HONEYPOT

Deception consiste nella capacità di distribuire esche di tipo file, fake host o account utenti e servizi di rete, per attirare e rilevare aggressori avanzati.

Cyner 360

Cynet in azione

Scopri come Cynet 360 semplifica i flussi di lavoro di protezione dalle violazioni, consentendo ai team di sicurezza di prepararsi, affrontare e rispondere agli attacchi informatici, tramite un’unica potente interfaccia, supportata da servizi di sicurezza 24 ore su 24, 7 giorni su 7. Alcuni approfondimenti sugli esiti dei test si possono trovare al seguente link:  LEARN HOW TO INTERPRET THE 2022 MITRE ATT&CK EVALUATION RESULTS

Hai bisogno di aiuto?

Per maggiori informazioni, per avere una consulenza o prendere un appuntamento, apri un ticket, oppure contattaci, il nostro staff saprà aiutarti al più presto!

Aperti dal Lunedì al Venerdì dalle 09.00 alle 18:00

Richiedi un supporto
Invia una e-mail
Torna in alto