WatchGuard Blog

Blick hinter die Kulissen der MITRE-Evaluation

2019 wurde die technische Stiftung MITRE Engenuity als Teil der MITRE Corporation ausgegründet. Das Hauptaugenmerk liegt auf der Emulation bekannter Bedrohungsgruppen, die sich in ihrem Vorgehen an öffentlich verfügbaren Threat Intelligence-Daten orientieren. Die auf diese Weise erlangten Erkenntnisse sollen Unternehmen bei der Suche nach individuell passenden Sicherheitslösungen unterstützen. Es geht darum, anhand solch spezifischer Informationen stichhaltig herausfinden, welche Werkzeuge am besten geeignet sind, um vorhandene Cybersicherheitslücken zu schließen bzw. bestehende Schutzmechanismen zu ergänzen, und dabei gleichzeitig den Anforderungen und Kapazitäten des Unternehmens bestmöglich Rechnung tragen.

Am 20. September veröffentlichte MITRE Engenuity die Ergebnisse der fünften Runde. Bei der Evaluierung war erstmals auch WatchGuard mit an Bord. Der Fokus lag auf dem von der russischen Bedrohungsgruppe Turlaausgehenden Angriffsgebaren. Unser Tech Brief enthält nicht nur eine Übersicht der Ergebnisse, sondern schärft auch das Verständnis für die Bewertung und Interpretation.

Die Bewertung umfasst zwei Tests: Sowohl Erkennung (Detection) als auch Prävention (Prevention) wurden genau unter die Lupe genommen.

WatchGuard startete mit dem Produkt WatchGuard EDR ins Rennen, das als Ergänzung zu bestehenden Endpoint-Security-Lösungen entwickelt wurde. Hierbei ist zu beachten: WatchGuard EDR verfügt nicht über präventive Technologien – beispielsweise Collective Intelligence-Wissensabfrage in der Cloud, Kontexterkennung, Anti-Exploit usw. – wie sie WatchGuard EPDR bietet. Folglich spiegeln die Ergebnisse dieser Bewertung nicht unsere Schutzfähigkeiten in Summe wider.

Evaluation „Detection“

MITRE Engenuity emuliert den Angriffsfluss und prüft die „Sichtweite“ der bewerteten Lösungen – nicht zuletzt im Hinblick auf Telemetrie zur weiteren Analyse oder dem Beisteuern zusätzlicher analysebasierter Kontext-Informationen. Telemetrie oder Analyse erfordern weiterführend ein Sicherheitsteam, welches die Daten operationalisiert, um den Angriff zu untersuchen und darauf zu reagieren. Gleichzeitig gilt es, die Präventionsfunktionen in Zukunft zu verbessern und einen optimierten, automatisierten Schutz zu erreichen.

Während des Tests konnte dem Angreifer der Weg nicht versperrt werden. Dies ist in dem Fall nicht vordergründig relevant – es geht nicht um die Bewertung der automatisierten Präventions-, Erkennungs- und Reaktionsfähigkeiten. Geprüft wird lediglich die Einblickstiefe in das Verhalten des Angreifers mithilfe von Telemetrie oder MITRE ATT&CK-Techniken (Analytik).

Viele legen das Augenmerk allein auf die Zusammenfassung der Erkennungsergebnisse. Es ist jedoch wichtig, auch auf andere Informationen zu achten, die den Sicherheitsteams helfen, fundierte Entscheidungen zu treffen:

  • Art der Einblicke: Zum Analyseumfang gehören auch „enriched detections“, die durch die Zuordnung zu ATT&CK-Techniken und Warnmeldungsbeschreibungen wichtigen Kontext hinzufügen. Die Ausschöpfung der Telemetrie ist hilfreich für Threat Hunter und Security-Teams, die sich mit dem Verhalten der Bedrohungsakteure befassen müssen.
  • Konfigurationsänderungen: Ein Modifikator „Konfigurationsänderung“ bedeutet, dass der Anbieter den Sensor, die Datenverarbeitung oder die Benutzeroberfläche angepasst hat, um die Erkennung während des Tests zu zeigen. Mit anderen Worten: Das Produkt hat sich nicht so verhalten, wie es in einer realen Umgebung der Fall wäre.
  • Betriebliche Effizienz: Bei der Entwicklung einer effektiven Endpunkt-Sicherheitslösung besteht das Schlüsselprinzip darin, ein ausgewogenes Signal-Rausch-Verhältnis zu schaffen. Theoretisch ist es einfach, eine Lösung zu entwerfen, die eine 100-prozentige Erkennungsrate erreicht – sie erkennt einfach „alles“, was den Blick fürs Wesentliche allerdings auch trüben kann und mit vielen Fehlalarmen einhergeht, die es zu beheben gilt. Dies kann in der Praxis nicht zielführend sein. 

Darüber hinaus sollten Unternehmen hinterfragen, ob eine 100-prozentige Abdeckung der Teilschritte wirklich das Richtige ist – gerade hinsichtlich der Kapazitäten des eigenen Sicherheitsteams und des Ausmaßes an Fehlalarmen. In dem Zusammenhang können die folgenden Empfehlungen helfen:

Organisationen ohne Security-Operations-Team

Relevante Bausteine der Security-Strategie: 

  • Sicherheitsebenen vom Netzwerk bis zum Endpunkt 
  • Automatisierte Funktionen für Prävention, Erkennung und Reaktion (EPP und EDR)
  • MDR-Services (Managed Detection and Response) als Ergänzung

Organisationen mit Security-Operations-Team

Unternehmen mit eigenem Sicherheitsteam laufen bei Einsatz ineffizienter Komplettlösungen, die alles erkennen, durchaus Gefahr, den Überblick und Anschluss zu verlieren. Überforderung droht, wenn zu viele Fehlalarme und zu viele Warnungen, die verwaltet werden müssen, den Aufwand in die Höhe treiben.

Hier sollte im Rahmen der Sicherheitsstrategie auf ein ausgewogenes Verhältnis zwischen Prävention, Erkennung und Reaktion geachtet werden – wichtiges Kriterium bei der Lösungsauswahl ist die betriebliche Effizienz. 

Spezielle MDR-Teams und routinierte Security-Operations-Center

Hier eröffnen dedizierte Threat Hunter und umfassende Sicherheitsanalysen basierend auf detaillierten Telemetriedaten entscheidende Potenziale.

Erfahren Sie mehr über die Endpoint Security-Lösungen von WatchGuard, insbesondere über WatchGuard EPDR mit seinem mehrschichtigen Sicherheitskonzept – inklusive Zero-Trust Application Service und Threat Hunting. Damit werden Bedrohungen über EDR-Technologien hinaus erkannt und blockiert, ohne dass ein manuelles Eingreifen seitens des Sicherheitsteams erforderlich ist. Hier informieren wir übersichtlich über die Unterschiede zwischen WatchGuard EDR und WatchGuard EPDR.

Quelle: https://www.forrester.com/blogs/mitre-attck-evals-getting-100-coverage-is-not-as-great-as-your-vendor-says-it-is/