MITRE ATT ve CK ™ APT3 Değerlendirmesi
Gerçek zamanlı raporlamanın önemi için bir dava açmak, hemen hemen her büyük kampanyayı düşünürken basit bir alıştırmadır. Disttrack silecek analizinin gelecekte yıkımın gerçekleşeceği bir tarih ortaya çıkardığı Shamoon örneğini ele alalım. Benzer şekilde, aktörlerin saldırılarında farklı teknikler kullandığı durumlar, bir kez haritaya çıkarıldığında bir hikayenin görünür hale geldiğini ortaya çıkarır. Soru şu: Bu tehditlere ilişkin görünürlüğünüz ve erken uyarılarınız var mı ve size ne kadar zamanında sunuluyorlar, böylece yanıt vermek için zaman var mı?
MITRE’nin Siber Güvenlik bölümü tarafından üretilen MITRE’nin ATT & CK for Enterprise, olası saldırgan eylemleri için çekişmeli bir davranış modelidir. Kullanılan ATT ve CK matrisi, saldırılar hakkında birleşik bir şekilde konuşmak için bir çerçeve sağlamaya yardımcı olmayı amaçlayan geniş bir tablo şeklinde bir görselleştirme aracıdır. Bu, farklı taktik ve tekniklerin ayrıntılı açıklamalarına ve saldırgandan saldırgana ne kadar farklı olduklarına bağlıdır.
Değerlendirmeye katıldığınızda, MITER bu durumda APT3 tarafından kullanılan teknikleri simüle eden kırmızı ekiptir ve McAfee olarak biz, eylemlerini tespit etmek ve raporlamak için ürünlerimizi kullanan mavi takımız. Kırmızı takım bize bir teknik çeşidiyle, mavi bir takım olarak saldırdığında, bunu tespit ettiğimizi kanıtlamamız gerekir.
McAfee, bu yaz başlarında bir MITER ATT & CK değerlendirmesi yaptı ve MITER’in APT3 değerlendirmesinin sonuçlarını bugün web sitelerinde yayınladığını duyurmaktan heyecan duyuyoruz. Günümüzün siber tehdit ortamında, her şey ‘zaman’, algılama zamanı, yanıt verme zamanı, iyileştirme zamanı, vb. İle ilgilidir. APT3’te temsil edilen gelişmiş saldırılar söz konusu olduğunda – gerçek zamanlı tespitler olay yanıtlayıcılarına hızla tehditler içeriyor.
Sonuçların gösterdiği gibi, McAfee saldırıları tespit ederken en gerçek uyarıları verdi. Forrester’dan Josh Zelonis tarafından yayınlanan ölçütler kullanılarak hesaplandığı şekliyle gerçek zamanlı uyarılar ve basit etkinlik puanı birlikte değerlendirildiğinde McAfee, grafiğin sağ üst çeyreğinde bir liderlik pozisyonu işgal eder:
MITRE’nin APT3 değerlendirmesi sırasında McAfee, Shamoon tarafından kullanılan tekniklerden biri olan T1088: Kullanıcı Hesabı Denetimini Atla da dahil olmak üzere belirli saldırılar için gerçek zamanlı uyarılar görüntüleyen tek tedarikçiydi.
MITRE’nin değerlendirmesi MVISION EDR’in algılama yeteneklerine odaklanırken, savunucuların bir olayı düzgün bir şekilde tetiklemek, kapsamlandırmak, dahil etmek ve kapatmak için dikkate alması gereken birkaç husus vardır. APT3 saldırısı sırasında MITRE’nin değerlendirmesinin çekirdeği olan 200’den fazla uyarı ve telemetri veri noktası oluşturduk. Ancak analistlerin bunları tek tek incelemelerini beklemiyoruz. MVISION EDR’de 200’den fazla veri noktası, triyajı hızlandırmak için olanların daha eksiksiz bir resmini çizmek için bağlam ekleyen 14 tehdide kümelendi.
Ayrıca, analistler bir tehditten otomatik bir araştırmayı tetikleyebilir ve bu nedenle diğer ürünlerden (örn. EPO, SIEM), uç nokta adli tıp, analitik ve tehdit istihbaratından daha fazla bağlam getirmek için yapay zeka güdümlü araştırma kılavuzlarımızı içerebilir.
4000’den fazla kanıt toplayan, bağlayan, uzman bulgular gösteren ve iki cihaz arasındaki potansiyel yanal hareketi ortaya çıkaran soruşturma davası
Otomatik araştırma rehberlerimiz sayesinde, APT3 durumunda, MVISION EDR pasif DNS bilgilerini toplayabildi ve kanıtları potansiyel yanal hareketi ve C2’yi daha da ortaya çıkarmak için bağlamayı başardı.
MITER tarafından kullanılmasa da, analist için bir sonraki adım, etkilenen cihazları daha fazla kapsamak ve sınırlama eylemleri (örn. Karantina, öldürme işlemleri, vb.) İçin MVISION EDR’nin gerçek zamanlı aramasını kullanmak olurdu.
McAfee, ATIT ve CK Matrisini genişletmek ve gelecekteki ATT ve CK Değerlendirmelerini geliştirmeye yardımcı olmak için MITER ile çalışmaktadır. ATT & CKcon’un gururlu bir sponsoruyuz ve bu ayın ilerleyen saatlerinde ATT & CKcon 2.0’da sergileyeceğiz. Otomatik yapay zeka odaklı araştırmaların McAfee MVISION EDR kullanarak tehditleri tespit etme ve bunlara yanıt verme süresini nasıl azaltabileceği hakkında daha fazla bilgi edinin.
