\n
![\"Resultados](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-1.png\")
<\/span><\/div>No cen\u00e1rio de seguran\u00e7a cibern\u00e9tica, que muda constantemente, ficar um passo \u00e0 frente \u00e9 mais importante do que nunca. Os inimigos continuamente buscam maneiras novas e sofisticadas de violar as defesas. \u00c9 um jogo de apostas altas em que as regras mudam constantemente e as consequ\u00eancias de ficar para tr\u00e1s podem ser catastr\u00f3ficas.<\/p>\n
\u00c9 a\u00ed que MITRE Engenuity entra em a\u00e7\u00e3o com as Avalia\u00e7\u00f5es Enterprise ATT&CK, oferecendo uma luz no fim desse t\u00fanel ca\u00f3tico. Essas avalia\u00e7\u00f5es se tornaram um recurso inestim\u00e1vel para CISOs, profissionais de seguran\u00e7a e qualquer pessoa respons\u00e1vel por proteger os ativos digitais de uma organiza\u00e7\u00e3o. Eles fornecem um teste decisivo ou uma an\u00e1lise de desempenho de como as solu\u00e7\u00f5es de seguran\u00e7a do endpoint da ind\u00fastria se comportam frente aos sabotadores cibern\u00e9ticos mais engenhosos.<\/p>\n
Mas, o que exatamente s\u00e3o as avalia\u00e7\u00f5es MITRE Engenuity ATT&CK e por que os resultados delas s\u00e3o importantes para voc\u00ea? Essas avalia\u00e7\u00f5es anuais simulam as t\u00e1ticas, t\u00e9cnicas e procedimentos (TTPs) usados por alguns dos grupos de amea\u00e7a mais ativos e famosos dos tempos de hoje. A red team do MITRE Engenuity convida fornecedores de solu\u00e7\u00f5es de seguran\u00e7a cibern\u00e9tica a se defenderem contra ataques cuidadosamente coreografados (nos modos de detec\u00e7\u00e3o e preven\u00e7\u00e3o) para fornecer informa\u00e7\u00f5es sobre tr\u00eas recursos:<\/p>\n
- \n
- Visibilidade<\/strong>: o que uma solu\u00e7\u00e3o consegue ver<\/li>\n
- Detec\u00e7\u00e3o<\/strong>: quais a\u00e7\u00f5es uma solu\u00e7\u00e3o identifica precisamente como maliciosa<\/li>\n
- Prote\u00e7\u00e3o<\/strong>: quais a\u00e7\u00f5es maliciosas uma solu\u00e7\u00e3o pode prevenir<\/li>\n<\/ol>\n
Um n\u00famero surpreendente de fornecedores participa dessas avalia\u00e7\u00f5es. Na edi\u00e7\u00e3o deste ano, foram 29 fornecedores participantes, e isso presta homenagem ao valor deles e reflete os esfor\u00e7os diligentes que o MITRE Engenuity emprega nas avalia\u00e7\u00f5es para garantir que eles forne\u00e7am um engajamento desafiador e provocativo.<\/p>\n
<\/a>Quinta rodada (Turla)<\/h2>\n
Neste ano, foi realizada a quinta avalia\u00e7\u00e3o anual e a red team do MITRE Engenuity focou a simula\u00e7\u00e3o dos m\u00e9todos do\u00a0Turla<\/a>, um grupo de amea\u00e7a que nossos\u00a0pesquisadores de amea\u00e7a da Unit 42 estudaram<\/a>\u00a0profundamente. O Turla \u00e9 um grupo russo de amea\u00e7a extraordinariamente bem amparado e sofisticado que j\u00e1 infectou v\u00edtimas em mais de 45 pa\u00edses. Eles j\u00e1 atacaram ag\u00eancias governamentais, grupos militares, miss\u00f5es diplom\u00e1ticas, assim como organiza\u00e7\u00f5es de pesquisa e m\u00eddia. A inf\u00e2mia do Turla vem de suas t\u00e1ticas de exfiltra\u00e7\u00e3o oculta, incluindo water holing de sites governamentais, rootkits personalizados, infraestrutura de rede de comando e controle elaborada e t\u00e1ticas de fraude. Ao conversar com os defensores que participaram, fica claro que o MITRE Engenuity avan\u00e7ou muito em termos de sofistica\u00e7\u00e3o de seus m\u00e9todos de ataque neste ano.<\/p>\n
A blue team implantou o Cortex XDR Pro para agente do Endpoint em endpoints do Windows e Linux. Nenhuma outra solu\u00e7\u00e3o foi implantada e o Cortex XDR foi definido com configura\u00e7\u00f5es padr\u00e3o, as mesmas configura\u00e7\u00f5es de f\u00e1brica, e as \u00fanicas altera\u00e7\u00f5es presentes foram a ativa\u00e7\u00e3o da quarentena de arquivos maliciosos e, para Linux, a ativa\u00e7\u00e3o da op\u00e7\u00e3o de tratar grayware como malware.<\/p>\n
<\/a>Principais m\u00e9tricas e crit\u00e9rios de avalia\u00e7\u00e3o<\/h2>\n
A avalia\u00e7\u00e3o deste ano foi dividida em dois cen\u00e1rios de detec\u00e7\u00e3o, chamados Carbon e Snake, correspondentes \u00e0s importantes ferramentas criadas e usadas pelo Turla. A fase de prote\u00e7\u00e3o seguiu este modelo: espelhamento das t\u00e9cnicas nos testes de detec\u00e7\u00e3o com entropia suficiente injetada para n\u00e3o parecer id\u00eantica ao teste de detec\u00e7\u00e3o. Cada um dos dois cen\u00e1rios de detec\u00e7\u00e3o tinha 10 etapas, que, por sua vez, tinham v\u00e1rias subetapas que mapeavam as t\u00e9cnicas reais na estrutura MITRE ATT&CK. Ao todo, cada fornecedor p\u00f4de ver 143 subetapas. Para cada uma dessas subetapas, a equipe do MITRE Engenuity registrou se cada solu\u00e7\u00e3o tinha uma detec\u00e7\u00e3o para uma a\u00e7\u00e3o tomada.<\/p>\n
Cada uma dessas detec\u00e7\u00f5es foi categorizada com base na qualidade da detec\u00e7\u00e3o observada.<\/p>\n
Categorias de detec\u00e7\u00e3o MITRE Engenuity:<\/p>\n
- \n
- N\u00e3o aplic\u00e1vel<\/strong>: participantes n\u00e3o tinham visibilidade do sistema sendo testado. (Este seria o caso se tivessem optado por n\u00e3o fazer a avalia\u00e7\u00e3o do Linux).<\/li>\n
- Nenhuma<\/strong>: n\u00e3o houve detec\u00e7\u00e3o. (Nenhuma telemetria associada \u00e0 atividade maliciosa)<\/li>\n
- Telemetria<\/strong>: dados processados minimamente, coletados pelo recurso que mostrava que os eventos ocorreram. (Detec\u00e7\u00f5es desse tipo geralmente s\u00e3o registros b\u00e1sicos da atividade).<\/li>\n
- Geral<\/strong>: o evento anormal foi detectado. No entanto, uma t\u00e1tica de ATT&CK (ou contexto equivalente) n\u00e3o foi especificada. (As detec\u00e7\u00f5es desse tipo permitem que o analista de seguran\u00e7a investigue e determine qual a\u00e7\u00e3o foi realizada e por qu\u00ea).<\/li>\n
- T\u00e1tica<\/strong>: uma t\u00e1tica ATT&CK (ou contexto equivalente) do evento anormal foi especificada. (Detec\u00e7\u00f5es desse tipo informam por que uma a\u00e7\u00e3o ocorreu, mas permitem, mais uma vez, que o analista de seguran\u00e7a investigue qual a\u00e7\u00e3o ou t\u00e9cnica foi realizada).<\/li>\n
- T\u00e9cnica<\/strong>: uma t\u00e9cnica ATT&CK (ou contexto equivalente) do evento anormal foi especificada. (Detec\u00e7\u00f5es deste calibre fornecem o contexto e os detalhes necess\u00e1rios para responder por que um inimigo realizou uma a\u00e7\u00e3o e precisamente que a\u00e7\u00e3o ele usou para atingir seu objetivo).<\/li>\n<\/ul>\n
\n![\"Gr\u00e1fico]()
<\/span><\/div>
\n <\/p>\nO MITRE Engenuity identifica dois tipos de cobertura com efic\u00e1cia: Cobertura de telemetria e \u201cCobertura de an\u00e1lise\u201d. Cobertura de telemetria \u00e9 definida como o n\u00famero de subetapas em que uma solu\u00e7\u00e3o produz uma detec\u00e7\u00e3o de telemetria como sua detec\u00e7\u00e3o de valor mais alto. A Cobertura de an\u00e1lise \u00e9 definida como o n\u00famero de subetapas que cont\u00e9m uma detec\u00e7\u00e3o Geral, T\u00e1tica ou T\u00e9cnica.<\/p>\n
Tamb\u00e9m vale a pena mencionar que todas as detec\u00e7\u00f5es podem ter um de dois modificadores de detec\u00e7\u00e3o:<\/p>\n
- \n
- Altera\u00e7\u00f5es de configura\u00e7\u00e3o<\/strong>: um modificador de altera\u00e7\u00e3o de configura\u00e7\u00e3o \u00e9 constatado se a detec\u00e7\u00e3o observada foi realizada no quarto dia de testagem, um dia em que fornecedores recebem uma segunda chance para detectar atividade maliciosa, caso tenham deixado isso passar no teste inicial.<\/li>\n
- Detec\u00e7\u00f5es atrasadas<\/strong>: um modificador de detec\u00e7\u00e3o atrasada \u00e9 constatado se a detec\u00e7\u00e3o n\u00e3o for observada em tempo h\u00e1bil, o que significa que um atraso importante entre o momento em que a a\u00e7\u00e3o \u00e9 realizada e o momento em que a detec\u00e7\u00e3o \u00e9 observada no console do fornecedor.<\/li>\n<\/ul>\n
No cen\u00e1rio de Prote\u00e7\u00f5es, havia 129 subetapas organizadas em 13 grandes etapas. No caso dessas subetapas. Cada subetapa de Prote\u00e7\u00e3o estava bloqueada ou n\u00e3o bloqueada e registrada de uma das seguintes formas:<\/p>\n
- \n
- Protegida<\/strong>: a atividade maliciosa foi bloqueada.<\/li>\n
- N\u00e3o aplic\u00e1vel (Protegida)<\/strong>: isso ocorria quando uma subetapa anterior na etapa de preven\u00e7\u00e3o havia sido bloqueada e, assim, as subetapas subsequentes n\u00e3o podiam ser executadas.<\/li>\n
- Nenhuma<\/strong>: isso significa que a atividade maliciosa n\u00e3o foi bloqueada.<\/li>\n<\/ul>\n
<\/a>Como foi o desempenho do Cortex XDR?<\/h2>\n
O prop\u00f3sito dessas avalia\u00e7\u00f5es \u00e9 fornecer informa\u00e7\u00f5es sobre tr\u00eas recursos:<\/p>\n
- \n
- Visibilidade<\/strong>: o que uma solu\u00e7\u00e3o consegue ver<\/li>\n
- Detec\u00e7\u00e3o<\/strong>: quais a\u00e7\u00f5es uma solu\u00e7\u00e3o identifica precisamente como maliciosa<\/li>\n
- Prote\u00e7\u00e3o<\/strong>: quais a\u00e7\u00f5es maliciosas uma solu\u00e7\u00e3o pode prevenir<\/li>\n<\/ol>\n
O Cortex XDR \u00e9 o \u00fanico a fornecer 100% de\u00a0Prote\u00e7\u00e3o\u00a0<\/strong>e, ao mesmo tempo, fornece 100% de\u00a0Visibilidade\u00a0<\/strong>e 100% de\u00a0Cobertura de an\u00e1lise\u00a0<\/strong>(detec\u00e7\u00f5es) com zero altera\u00e7\u00f5es de configura\u00e7\u00e3o ou detec\u00e7\u00f5es atrasadas.<\/p>\n
Al\u00e9m disso, a qualidade de nossas detec\u00e7\u00f5es \u00e9 incompar\u00e1vel, com 142 das 143 como detec\u00e7\u00f5es de n\u00edvel T\u00e9cnico,\u00a0a detec\u00e7\u00e3o com a mais alta qualidade poss\u00edvel<\/em>. A outra detec\u00e7\u00e3o foi reconhecida como uma detec\u00e7\u00e3o de n\u00edvel T\u00e1tico. Cada uma das 129 subetapas na avalia\u00e7\u00e3o Prote\u00e7\u00e3o foi bloqueada. Tudo isso foi realizado com zero \u201caltera\u00e7\u00f5es de configura\u00e7\u00e3o\u201d e zero \u201cdetec\u00e7\u00f5es atrasadas\u201d. Na realidade, se excluirmos as detec\u00e7\u00f5es resultantes de uma altera\u00e7\u00e3o de configura\u00e7\u00e3o, o Cortex XDR era o \u00fanico fornecedor sem nenhuma detec\u00e7\u00e3o ignorada (tipo de detec\u00e7\u00e3o, Nenhuma). Em outras palavras, o Cortex XDR era o\u00a0\u00fanico com 100% de visibilidade.<\/em>
\n![\"Captura]()
<\/span><\/div>O\u00a0Painel de Avalia\u00e7\u00f5es MITRE Engenuity ATT&CK da Palo Alto Networks<\/a>. Captura de tela mostrando os resultados da avalia\u00e7\u00e3o do Turla 2023.<\/figcaption><\/figure><\/p>\n Os resultados da avalia\u00e7\u00e3o deste ano servem para refletir os grandes esfor\u00e7os que a Palo Alto Networks continua a empreender na pesquisa de advers\u00e1rios e na engenharia de seguran\u00e7a do endpoint, colocando esse conhecimento em a\u00e7\u00e3o para ajudar nossos clientes a permanecerem seguros em um mundo cibern\u00e9tico cada vez mais hostil.<\/p>\n
<\/a>Uma observa\u00e7\u00e3o sobre o 100%<\/h2>\n
Se voc\u00ea acompanha as avalia\u00e7\u00f5es ATT&CK h\u00e1 algum tempo, 100% pode parecer normal para voc\u00ea. Mas, n\u00e3o se confunda. Quando outras solu\u00e7\u00f5es alegam ter alcan\u00e7ado 100% na avalia\u00e7\u00e3o deste ano, elas t\u00eam pelo menos uma detec\u00e7\u00e3o e\/ou preven\u00e7\u00e3o em todas as etapas importantes. Apenas o Cortex forneceu essas detec\u00e7\u00f5es para cada uma dessas a\u00e7\u00f5es maliciosas que foram realizadas: as subetapas.<\/p>\n
100% de detec\u00e7\u00e3o e preven\u00e7\u00e3o \u00e9 o padr\u00e3o que todos devemos tentar alcan\u00e7ar. Como Allie Mellen, da Forrester, destacou na avalia\u00e7\u00e3o do ano passado, \u201cdetectar um ataque inspirado por um agente de amea\u00e7a conhecido deveria ser o m\u00ednimo que produtos de seguran\u00e7a podem fazer, e n\u00e3o o m\u00e1ximo.<\/a>\u201d1\u00a0Concordamos plenamente, e o Cortex XDR est\u00e1 definindo esse padr\u00e3o.<\/p>\n
Dito isto, Allie tamb\u00e9m foi certeira em apontar que talvez 100% de detec\u00e7\u00e3o n\u00e3o seja necessariamente uma coisa boa, j\u00e1 que as solu\u00e7\u00f5es \u201cque detectam cada t\u00e9cnica t\u00eam o potencial de apresentar ru\u00eddos, uma alta taxa de falsos positivos e fornecer alertas excessivos.<\/a>\u201d Tamb\u00e9m compartilhamos dessa vis\u00e3o e \u00e9 por isso que utilizamos muito o aprendizado de m\u00e1quina para entender quais atividades representam opera\u00e7\u00f5es normais e quais s\u00e3o a\u00e7\u00f5es possivelmente maliciosas. No caso do Cortex XDR, isso foi fortalecido pelo fato de que integramos telemetria adicional a partir de muitas outras fontes de dados importantes que fornecem contexto cr\u00edtico para ajudar a determinar onde devemos focar as investiga\u00e7\u00f5es.<\/p>\n
<\/a>Descubra os resultados da Avalia\u00e7\u00f5es ATT&CK<\/h2>\n
Parab\u00e9ns ao MITRE Engenuity, j\u00e1 que esse ano foi significativamente mais desafiador do que os anos anteriores. Al\u00e9m disso, estamos animados com as melhorias que foram feitas para ajudar os defensores a tomarem decis\u00f5es informadas. Os resultados da avalia\u00e7\u00e3o ATT&CK, hospedados no site do MITRE Engenuity, agora permitem comparar os\u00a0resultados de tr\u00eas fornecedores, lado a lado<\/a>. \u00c9 poss\u00edvel escolher cada um dos tr\u00eas cen\u00e1rios de avalia\u00e7\u00e3o e at\u00e9 tr\u00eas fornecedores. Por padr\u00e3o, os resultados s\u00e3o exibidos com detec\u00e7\u00f5es atrasadas e os resultados oriundos de altera\u00e7\u00f5es da configura\u00e7\u00e3o. Ainda assim, voc\u00ea tamb\u00e9m consegue ver os resultados de detec\u00e7\u00f5es com a exclus\u00e3o desses modificadores.
\n![\"Resultados]()
<\/span><\/div>No site de Avalia\u00e7\u00e3o do MITRE Engenuity ATT&CK<\/a>, os resultados da avalia\u00e7\u00e3o de prote\u00e7\u00e3o. Apenas o Cortex XDR forneceu 100% de preven\u00e7\u00e3o.<\/figcaption><\/figure><\/p>\n Por muitos anos, ouvimos que \u00e9 dif\u00edcil entender os resultados da avalia\u00e7\u00e3o ATT&CK, j\u00e1 que nenhuma ferramenta de visualiza\u00e7\u00e3o de dados permite visualizar os resultados de todos os fornecedores. Para ajudar nisso, criamos uma ferramenta para ajudar voc\u00ea a explorar os resultados desse ano, assim como os de anos anteriores. Com essa ferramenta, voc\u00ea pode selecionar os fornecedores de seu interesse e advers\u00e1rios espec\u00edficos que foram simulados. Todos os gr\u00e1ficos resultantes s\u00e3o alimentados diretamente a partir dos arquivos JSON fornecidos pelo MITRE Engenuity para cada fornecedor participante. Confira os\u00a0resultados da Avalia\u00e7\u00e3o ATT&CK<\/a>\u00a0e deixe que os dados revelem a melhor escolha para defender sua empresa.
\n - Detec\u00e7\u00e3o<\/strong>: quais a\u00e7\u00f5es uma solu\u00e7\u00e3o identifica precisamente como maliciosa<\/li>\n
- N\u00e3o aplic\u00e1vel (Protegida)<\/strong>: isso ocorria quando uma subetapa anterior na etapa de preven\u00e7\u00e3o havia sido bloqueada e, assim, as subetapas subsequentes n\u00e3o podiam ser executadas.<\/li>\n
- Detec\u00e7\u00f5es atrasadas<\/strong>: um modificador de detec\u00e7\u00e3o atrasada \u00e9 constatado se a detec\u00e7\u00e3o n\u00e3o for observada em tempo h\u00e1bil, o que significa que um atraso importante entre o momento em que a a\u00e7\u00e3o \u00e9 realizada e o momento em que a detec\u00e7\u00e3o \u00e9 observada no console do fornecedor.<\/li>\n<\/ul>\n
- Nenhuma<\/strong>: n\u00e3o houve detec\u00e7\u00e3o. (Nenhuma telemetria associada \u00e0 atividade maliciosa)<\/li>\n
- Detec\u00e7\u00e3o<\/strong>: quais a\u00e7\u00f5es uma solu\u00e7\u00e3o identifica precisamente como maliciosa<\/li>\n
![\"Gr\u00e1fico](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-2.png\")
<\/span><\/div>![\"Captura](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/image-15.png\")
<\/span><\/div>![\"Resultados](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-4.png\")
<\/span><\/div>![\"Gr\u00e1fico](\"https:\/\/www.paloaltonetworks.com\/blog\/wp-content\/uploads\/2023\/09\/word-image-304515-5.png\")
<\/span><\/div>