MITRE 2024: Welche Neuerungen gibt es, und weshalb sind die Ergebnisse von Bedeutung?

Die MITRE Enterprise-Testreihe 2024 läutet eine neue Ära in der Bewertung von EDR-Produkten ein. Dadurch können nun auch kleinere IT-Teams nützliche Erkenntnisse gewinnen, um fundierte Entscheidungen zu treffen.

MITRE ist eine gemeinnützige Organisation, die Forschung und Entwicklung sowohl im privaten als auch im öffentlichen Sektor unterstützt. Sie verwaltet eine Reihe von Standards und Frameworks, die Unternehmen zur Bewertung ihrer Endpoint- und Cloud-Detection-and-Response-Lösungen nutzen. Besonders bekannt ist die MITRE ATT&CK-Matrix, ein hilfreiches Framework zur Darstellung von Angriffen und deren Erkennungsmöglichkeiten.

„MITRE entwickelt auch Tools zur Erstellung von 'Heatmaps' für Angriffssimulationen und die entsprechenden Verteidigungsmaßnahmen – sei es für reale Angriffe oder Penetrationstests. Das fördert den Informationsaustausch zwischen Organisationen, um gemeinsam besser gegen Cyberangriffe gewappnet zu sein“, erklärt Jorge Lamarca, Senior Manager, Threat Detection bei WithSecure.

Die MITRE ATT&CK Evaluations: Enterprise wurden entwickelt, um die Erkennungsleistung verschiedener Sicherheitsprodukte in spezifischen Angriffsszenarien zu bewerten, die unter ähnlichen, kontrollierten Bedingungen simuliert werden. Diese Benchmarks können Unternehmen dabei helfen, fundierte Investitionsentscheidungen im Bereich Cybersicherheit zu treffen.

Auswirkungen auf den Mittelstand

Mittelständische Unternehmen verfügen oft nicht über umfassende, dedizierte Cybersicherheitsteams, die eigene Tests durchführen können. Daher bieten die strengen Bewertungen von MITRE wertvolle Unterstützung und Einblicke in die Leistungsfähigkeit von EDR-Tools.

Unternehmen können EDR-Produkte vergleichen, die in den Bereichen effektive Bedrohungserkennung und niedrige Fehlalarmraten besonders überzeugen. Diese Faktoren sind für mittelständische Organisationen besonders wichtig. Während sich die MITRE-Bewertungen für macOS und Linux noch weiterentwickeln, sind sie bereits heute besonders nützlich für Unternehmen, die Windows einsetzen – das Betriebssystem, das im Mittelstand am häufigsten genutzt wird.

Warum ist diese Runde (endlich!) anders?

Die MITRE ATT&CK Evaluations: Enterprise 2024 führen mehrere lang erwartete Änderungen ein. So werden endlich Angriffe in realen Umgebungen besser simuliert, anstatt sich ausschließlich auf rauschfreie Laborumgebungen zu konzentrieren:

Einbeziehung von macOS: Damit wird der wachsenden Vielfalt der Betriebssysteme in Unternehmensumgebungen Rechnung getragen. Diese Erweiterung steigert die Relevanz der MITRE-Bewertungen und macht sie für Organisationen anwendbar, die plattformübergreifend arbeiten.
Neuer Ansatz für Fehlalarme: Ein signifikanter Anteil der Angriffstechniken besteht aus bewusst harmlosen Ereignissen, die als Fehlalarme simuliert werden. Effektive Erkennungslösungen sollten diese Ereignisse ignorieren. Diese Anpassung bringt die Tests näher an reale Bedingungen, in denen das Herausfiltern unnötiger Warnmeldungen entscheidend für eine effiziente und reaktionsfähige Sicherheitsinfrastruktur ist.
Abschaffung der Telemetrie: In früheren Bewertungen wurden Telemetriepunkte vergeben, wenn ein System relevante Daten erfasste, ohne einen Alarm auszulösen. Durch die Entfernung der Telemetrie aus den Bewertungskriterien hat MITRE den Fokus auf sofortige, umsetzbare Erkennungen gelegt. Diese Änderung stoppt die bisher übliche Herangehensweise, zehntausende von Ereignissen für manuelles Threat Hunting als Beweis für die Effektivität eines EDR-Tools zu erheben.
Optimierter Beweisaufnahmeprozess: In früheren Runden mussten Teilnehmer umfangreiche Überprüfungssitzungen für jeden Schritt der Bewertung durchlaufen. Dieses Jahr konnten die MITRE-Mitarbeiter die Szenarien deutlich schneller auswerten, was die Feedbackzeit erheblich verkürzt und den Teilnehmern eine effizientere Leistungsbewertung ermöglicht.
Bündelung des Schutztests: In den vergangenen Jahren konnten Unternehmen wahlweise am sogenannten “Detection-” oder “Protection-Test” teilnehmen. Nun werden sie automatisch in beide Tests einbezogen, sofern sie sich nicht ausdrücklich dagegen entscheiden. Der Detection-Test simuliert ein APT-Szenario (Advanced Persistent Threat) mit verschiedenen Angriffsschritten, während der Protection-Test sich auf Angriffe konzentriert und endet, sobald eine Bedrohung blockiert wird. Er soll die etablierten unabhängigen Tests von AV-TEST oder AV-Comparatives nicht ersetzen.

2024 MITRE ATT&CK® Evaluations: Enterprise

In der aktuellen Runde der MITRE-Tests haben wir in puncto Detection-to-Alert-Verhältnis hervorragend abgeschnitten. Konkret bedeutet das, dass unsere EDR-Lösung Bedrohungen präzise und frühzeitig erkennt, ohne durch unnötiges Rauschen irrelevanter Alarme abzulenken - genau das, was mittelständische Unternehmen brauchen.

MITRE als „Stresstest“

Einige Branchenexperten kritisieren die MITRE-Bewertungen als unrealistisch, da die simulierte Angriffsdichte weitaus intensiver ist als das, was die meisten Organisationen im Alltag erleben.

Diese Bewertungen sind jedoch als Stresstests konzipiert und nicht als exakte Nachbildungen von Alltagsbedingungen.

„Die MITRE-Bewertung spiegelt nicht genau die Art von Erkennungen wider, die für eine effektive Reaktion erforderlich sind, sondern konzentriert sich auf umfassende und detaillierte Einblicke, die deutlich über das hinausgehen, was Mitarbeiter im Security Operations Center oder IT-Sicherheitsteam benötigen. In diesem Sinne betrachte ich MITRE als effektiven und ambitionierten Stresstest,“ betont Lamarca.

Diese hohen Anforderungen drängen Anbieter dazu, Sicherheitslösungen zu entwickeln, die Warnmeldungen mit niedrigem Rauschen und hohem Detailgrad zu entwickeln. Das ermöglicht IT-Sicherheitsteams, Kontext und Zeitverlauf eines Angriffs schneller zu verstehen, ohne von irrelevanten Informationen abgelenkt zu werden.

„Als Sicherheitsspezialist in einem kleinen Team würde ich ein Gleichgewicht zwischen EDR-Technologie und dem Aufbau einer partnerschaftlichen Zusammenarbeit mit einem MDR-Dienstleister anstreben. Ich möchte mich darauf verlassen können, dass meine Anfragen und Vorschläge effektiv bearbeitet werden. Daher würde ich mich bei meiner Wahl auf die MITRE-Bewertung und die Reaktionsfähigkeit meines Cybersicherheitspartners stützen, um einen ganzheitlichen Überblick über mein Portfolio zu erhalten,“ schließt Lamarca ab.

The MITRE ATT&CK Evaluation: Enterprise

Enterprise 2024 wird mehrere kleinere Simulationen umfassen, um eine differenziertere und gezieltere Bewertung der Verteidigungsfähigkeiten zu ermöglichen.

Mehr erfahren

Über uns

Was gibt's für Neuigkeiten?

Letzte Aktualisierung

WithSecure als einer von fünfzehn Herstellern im 2024 Gartner® Magic Quadrant™ für Endpoint Protection Platforms

NYDFS 500 vs. DORA: A Comparison for European Financial Institutions

Differences between vulnerability management and exposure management

Understanding Your Attack Surface

Select a language

Europe

North America

Central and South America

Asia - Pacific

Global

Highlights

Ansehen und lesen

Ausgewählte Beiträge

MITRE 2024: Was ist neu und warum sollte es mich interessieren?

Partner werden

Bestandspartner

Partner finden

Partner's corner

Die Entmystifizierung von Attack Path Mapping

Der europäische Ansatz

Ergebnisorientierte Strategien

Lernen Sie weiter (auf Englisch)

Self-help

Kontakt zum Support

Lassen Sie es uns wissen

Wichtige Neuigkeiten

WithSecure Support