MITRE 2024: Mitä uutta ja miksi se kiinnostaa?

Keskikokoisilla yrityksillä ei usein ole laajoja, omistautuneita kyberturvatiimejä suorittamaan omia testejään, mikä tarkoittaa, että MITREn perusteelliset arvioinnit ovat arvokas työkalu avun saamisessa. Ne tarjoavat korvaamattomia näkemyksiä EDR-työkalujen suorituskyvystä.

 Yritykset voivat verrata EDR-tuotteita, joilla on korkea MITRE-luokitus – erityisesti tehokkaan uhkien havaitsemisen ja alhaisten väärien positiivisten tulosten määrän saavuttamisen kannalta – mikä kiinnostaa keskisuuria yrityksiä. Vaikka MITREn arvioinnit ovat edelleen kehittymässä macOS:lle ja Linuxille, ne ovat arvokkaita Windows-pohjaisille yrityksille, jotka muodostavat suurimman osan keskikokoisista yrityksistä.

Vuoden 2024 MITRE ATT&CK Evaluations: Enterprise toi mukanaan useita kauan odotettuja muutoksia, jotka erottavat sen aiemmista vuosista. Tämä tarkoittaa, että testit alkavat muistuttaa hyökkäyksiä todellisissa ympäristöissä sen sijaan, että ne tapahtuvat täysin häiriöttömissä laboratorioympäristöissä:

1. macOS mukaan arviointiin: Tämä tunnustaa käyttöjärjestelmien kasvavan monipuolisuuden yritysympäristöissä. Lisäys laajentaa MITREn arviointien merkitystä, jolloin ne ovat sovellettavissa organisaatioihin, jotka toimivat useilla alustoilla.
   
   
2. Uusi lähestymistapa vääriin hälytyksiin: Merkittävä osa skenaarioissa käytetyistä yksittäisistä hyökkäystekniikoista on tarkoituksella vääriä hälytyksiä. Tämä tarkoittaa sitä, että tehokkaiden tunnistamisjärjestelmien tulisi ihanteellisesti jättää nämä harmittomat tapahtumat huomiotta. Muutos tuo arvioinnin lähemmäs todellisia olosuhteita, joissa tarpeettomien hälytysten suodattaminen on välttämätöntä tehokkaan ja reagoivan tietoturvajärjestelmän ylläpitämiseksi
   
   
3. Telemetrian poistaminen: Aiemmissa arvioinneissa telemetriapisteitä annettiin, kun järjestelmä keräsi merkityksellisiä tietoja ilman, että se laukaisi hälytyksen. Telemetrian poistaminen pisteytyskriteereistä siirtää MITREn painopisteen kohti välitöntä ja toimintaan johtaa tunnistusta. Muutos poistaa lopulta käytännön, jossa kymmeniä tuhansia tapahtumia tuodaan esiin manuaaliseen uhkien metsästykseen todisteena EDR-työkalun tehokkuudesta.
   
   
4. Todisteiden keruun tehostaminen: Aiemmin osallistujien oli käytävä läpi laajoja tarkastelusessioita, joissa arvioitiin jokainen arvioinnin vaihe. Tällä kierroksella MITREn henkilöstö pystyi tarjoamaan nopeamman läpikäynnin skenaarioista, mikä lyhensi merkittävästi palautteeseen tarvittavaa aikaa ja mahdollisti osallistujien tehokkaamman suorituksen arvioinnin.
   
   
5. Suojaamistestin yhdistäminen: Aikaisempina vuosina yritykset pystyivät osallistumaan joko tunnistamis- tai suojaamistestiin erikseen. Nyt ne osallistuvat automaattisesti molempiin testeihin, elleivät ne nimenomaisesti valitse jättäytyä ulkopuolelle. Tunnistamistesti simuloi kehittyneen jatkuvan uhan (APT) skenaariota, jossa on useita hyökkäysvaiheita, kun taas suojaamistesti keskittyy hyökkäyksiin ja päättyy heti, kun uhka estetään. Suojaamistestin ei ole tarkoitus korvata AV-TESTin tai AV-Comparativesin kaltaisia vakiintuneempia riippumattomia suojaamistestejä.

Jotkut alan asiantuntijat arvostelevat MITRE-arviointeja epärealistisiksi, koska testeissä simuloitujen hyökkäysten suuri tiheys on huomattavasti intensiivisempi kuin mitä useimmat organisaatiot kohtaavat päivittäin.

Nämä arvioinnit on kuitenkin suunniteltu stressitesteiksi, ei tarkaksi jäljennökseksi päivittäisistä olosuhteista.

”MITRE-arviointi ei täysin vastaa niitä tunnistamistyyppejä, joita tarvitaan tehokkaaseen reagointiin, vaan keskittyy kattaviin ja yksityiskohtaisiin oivalluksiin, jotka menevät huomattavasti pidemmälle kuin mitä reagointihenkilöstö tarvitsee. Tässä mielessä pidän MITREä kokonaisuudessaan tehokkaana ja kunnianhimoisena stressitestinä. Loppujen lopuksi, MITRE on reagoiva, testi toimii ja prosessi on suhteellisen oikeudenmukainen”, Lamarca toteaa.

Korkeat standardit ovat arvokkaita, koska ne pakottavat toimittajat luomaan häiriöttömiä, yksityiskohtaisia hälytyksiä. Tämä auttaa puolustajia ymmärtämään nopeasti hyökkäyksen aikajanan ja kontekstin ilman, että heitä ylikuormitetaan tarpeettomalla tiedolla.  

 ”Pienen tiimin tietoturva-asiantuntijana etsisin tasapainoa EDR-teknologian ja tehokkaan kumppanuuden luomisen välillä MDR-palveluntarjoajan kanssa. Haluaisin voida luottaa siihen, että pyyntöni ja ehdotukseni käsitellään tehokkaasti. Siksi valintani perustuisi MITRE-pisteisiin sekä kyberturvakumppanini reaktiivisuuteen, jotta saisin kokonaisvaltaisen näkemyksen portfoliostani”, Lamarca päättää.