Blog WatchGuard

O que a Avaliação MITRE significa para a sua organização?

O MITRE ATT&CK Engenuity emula grupos de ameaças conhecidos inspirados em ameaças cibernéticas disponíveis publicamente. As organizações devem utilizá-la para determinar quais soluções cobrem as lacunas de sua segurança cibernética, o que complementa a proteção existente e como atender às necessidades e capacidades da sua organização.

No dia 20 de setembro, publicou seu resultado da quinta rodada. Hoje, temos orgulho de compartilhar nossos resultados no primeiro ano de participação nesta avaliação. Esta rodada se concentrou no comportamento do adversário conhecido como Turla, um conhecido grupo de ameaças com base na Rússia. Convidamos você a explorar os resultados dos participantes neste white paper para compreender a avaliação e sua interpretação

A avaliação inclui dois testes:  deteção e prevenção.

Para esta avaliação apresentamos o WatchGuard EDR, projetado para complementar as soluções existentes de proteção de endpoints. O WatchGuard EDR não possui tecnologias preventivas como conhecimento de Inteligência Coletiva na Nuvem, deteção contextual, anti-exploit, etc., que fazem parte do WatchGuard EPDR. Consequentemente, os resultados desta avaliação não refletem toda a extensão da nossa capacidade de proteção.

Avaliação de deteção

O MITRE Engenuity emula o fluxo de ataque, observando a visibilidade das soluções avaliadas com telemetria para análise posterior ou adição de contexto extra por meio de análises. A telemetria ou a análise requerem processamento por uma equipe de operações de segurança para investigar e responder ao invasor e melhorar as capacidades preventivas no futuro, buscando uma proteção melhor e automatizada.

Durante o teste, o invasor não poderia ser bloqueado em seu caminho. Esse não é um teste onde as capacidades automatizadas de prevenção, detecção e resposta são avaliadas. Ele avalia apenas a visibilidade do comportamento do invasor com telemetria ou usando a técnica MITRE ATT&CK para identificação (analítica).

Muitas pessoas verão apenas os resumos dos resultados de detecção. No entanto, é essencial prestar atenção a outras informações que ajudam as equipas de segurança a tomar decisões informadas:

  • Tipo de visibilidade. A cobertura analítica fornece detecções avançadas que adicionam contexto por meio de mapeamento e descrição de alertas através das técnicas MITRE ATT&CK. A cobertura de telemetria é útil para caçadores e incident responders que precisam investigar o comportamento dos atores de ameaças.
  • Mudança de configurações. Um modificador “Config change” significa que o fornecedor ajustou o sensor, o processamento de dados ou a UX para exibir a detecção durante o teste. Em outras palavras, o produto não se comportou como em um ambiente real.
  • Eficiência operacional. Ao projetar uma solução eficaz de segurança de endpoint, o princípio fundamental é equilibrar a relação sinal-ruído . Em teoria, criar uma solução que alcance 100% de detecção é fácil: simplesmente detectar “tudo”, o que pode ser muito barulhento e resultar em muitos falsos positivos para resolver . É claro que tal solução seria quase inútil. 

Recomendamos também avaliar se 100% de cobertura das subetapas é o que sua organização precisa, dependendo da capacidade da sua equipe de operações de segurança e do ruído de falsos positivos gerados pela solução, considerando as seguintes recomendações:

1. Organizações sem uma equipa de operações de segurança: 

A sua estratégia de segurança deve basear-se no seguinte: 

As organizações com uma equipa de operações de segurança podem ser sobrecarregadas por soluções ineficientes que detetam tudo. As soluções EDR ruidosas geram demasiados falsos positivos para resolver e alertas excessivos para gerir.

  • Camadas de segurança da rede ao endpoint
  • Capacidades automatizadas de prevenção, detecção e resposta (EPP e EDR)
  • Complementado com MDR (serviços gerenciados de detecção e resposta)

2- Organizações com uma equipa de Operação de Segurança:

A sua estratégia de segurança baseia-se num bom equilíbrio entre prevenção, deteção e resposta gerida por uma equipa de operações de segurança com uma carga de trabalho simplificada.

Essas organizações podem ficar sobrecarregadas com soluções ineficientes e abrangentes. Soluções EDR barulhentas criam muitos falsos positivos para resolver e muitos alertas para gerir.

3- 1.   Equipas de MDR com operações de segurança maduras:

Com caçadores de ameaças e suas próprias análises de segurança, baseadas em telemetria detalhada.

Saiba mais sobre nossas soluções de segurança de endpoint, especialmente WatchGuard EPDR, nossa abordagem de segurança em camadas, incluindo Zero Trust Application Service e Threat Hunting Service, que detectam e bloqueiam ameaças de tecnologias EDR sem intervenção de uma equipe de operações de segurança. Além disso, você pode estar interessado em saber as diferenças entre WatchGuard EDR e WatchGuard EPDR.

 

Compartilhe isso: