Conheça o seu inimigo: ATT&CK® Evaluation da MITRE Engenuity mostra a necessidade de uma abordagem equilibrada para o uso de EDR

Seguinte
Julia Biagini

Apesar da orientação clara da MITER Engenuity sobre a metodologia da ATT&CK® Evaluation e interpretação dos resultados - especificamente, a parte que diz que as "avaliações não são uma análise competitiva" e que "não há pontuações ou vencedores" - diversos fornecedores participantes já lançaram materiais de marketing orgulhosos, alegando que venceram seus concorrentes.

Embora as motivações para essa bravata de marketing sejam compreensíveis, eles perdem o objetivo das avaliações da ATT&CK®. Os analistas da Forrester explicam esse fenômeno em sua postagem no blog “Winning” MITRE ATT&CK®, Losing Sight Of Customers.

O objetivo deste artigo é fornecer uma visão geral factual de como a solução de detecção e resposta de endpoint (EDR) da ESET - ESET Enterprise Inspector - atuou na avaliação. Aqui, queremos destacar algumas características e recursos da nossa solução que não foram considerados na avaliação do MITRE Engenuity, mas podem ser relevantes ao considerar as necessidades gerais de sua organização.

Antes de mergulhar, é importante observar que não estamos escrevendo isso da perspectiva de um fornecedor que teve um desempenho ruim na avaliação. Pelo contrário, com uma visibilidade de mais de 90% nas subetapas do ataque (uma das métricas, que será explicada com mais detalhes abaixo), a ESET se posiciona nas primeiras classificações entre os fornecedores participantes. Essa é a única declaração comparativa para este artigo, apenas para ilustrar o ponto acima mencionado. Então vamos, para além do hype, olhar para os resultados.

Metodologia de avaliação

Para analisar os resultados da avaliação de forma adequada, é importante compreender a metodologia e alguns termos-chave. O MITRE Engenuity fornece uma documentação muito clara e detalhada para a avaliação, começando com uma postagem de blog fácil de ler (que é um ótimo lugar para começar, especialmente se você não estiver familiarizado com a avaliação nesta rodada mais recente) até a Adversary Emulation Plan Library, que inclui o código-fonte para que qualquer pessoa possa reproduzir os resultados. Portanto, forneceremos apenas uma breve visão geral da metodologia aqui.

Nesta interação mais recente, a avaliação emulou as técnicas normalmente usadas pelos grupos Carbanak e FIN7 de ameaça persistente avançada (APT). Chamamos esses grupos de “grupos APT financeiros” porque, ao contrário da maioria dos grupos APT, sua principal motivação aparenta ser o ganho financeiro em vez de espionagem de um estado-nação ou cibersabotagem. Ao contrário das gangues cibercriminosas típicas, eles utilizam técnicas sofisticadas.

Isso significa que se sua organização atua em um dos setores financeiro, bancário, varejista, restaurante ou hoteleiro (ou, em geral, setores que empregam terminais de ponto de venda, já que esses dispositivos são visados ​​por esses agentes de ameaça), essa avaliação deve ser particularmente pertinente para você. Ao mesmo tempo, para organizações fora do escopo típico de Carbanak e FIN7, a avaliação ainda serve como uma referência relevante para demonstrar a eficácia de EDR, porque muitas das técnicas emuladas usadas nesta avaliação são comuns a vários grupos APT.

Os cenários de detecção consistiam em 20 etapas (10 para Carbanak e 10 para FIN7) abrangendo um espectro de táticas listadas na estrutura da  ATT&CK, desde o acesso inicial ao movimento lateral, coleta, exfiltração e assim por diante. Essas etapas são então divididas em um nível mais granular - um total de 162 subetapas (ou 174 para fornecedores que também participam da parte Linux da avaliação). A equipe do MITRE Engenuity registrou as respostas e o nível de visibilidade em cada subetapa para cada solução EDR participante.

Os resultados foram então combinados em várias métricas, essencialmente com base na capacidade da solução de ver os comportamentos do ataque emulado (categoria Telemetria) ou para fornecer dados analíticos mais detalhados (categorias Geral, Tática e Técnica). Para mais detalhes, leia a documentação da MITRE Engenuity sobre categorias de detecção.

Figura 1 - Categorias de detecção na avaliação Carbanak e FIN7 (Image source: MITRE)

Novo na rodada deste ano, além dos cenários de detecção no qual as soluções testadas foram configuradas apenas para relatar mas não impedir que um ataque continuasse, havia também um cenário de proteção opcional que testou os recursos de cada solução participante para bloquear a continuação de um ataque. O cenário de proteção consistia em um total de 10 casos de teste (5 para Carbanak e 5 para FIN7).

Conforme mencionado na introdução, as avaliações da ATT&CK são diferentes dos testes de software de segurança tradicionais porque não há pontuações, rankings ou ratings. O raciocínio por trás disso é que as organizações, as equipes do centro de operações de segurança (SOC) e os engenheiros de segurança têm diferentes níveis de maturidade e diferentes regulamentações para cumprir, juntamente com uma série de outras necessidades específicas do setor, da empresa e do local. Portanto, nem todas as métricas fornecidas nas avaliações da ATT&CK têm o mesmo nível de importância para cada avaliador. Outros parâmetros-chave que a avaliação não considerou incluem desempenho de EDR e requisitos de recursos, ruído (fadiga de alerta - qualquer produto pode obter uma pontuação muito alta na maioria desses resultados, produzindo alertas em cada ação registrada no ambiente de teste), integração com endpoint software de segurança e facilidade de uso.

Agora, vamos dar uma olhada em como as soluções EDR da ESET, ESET Enterprise Inspector, se saíram.

Resultados da avaliação da ESET

Os resultados estão publicamente disponíveis aqui.

Das 20 etapas na avaliação de detecção, o ESET Enterprise Inspector detectou todas as etapas (100%). As Figuras 2 e 3 ilustram os diferentes tipos de detecção por etapa.

Figura 2 - Distribuição do tipo de detecção por etapa no cenário Carbanak (Image source: MITRE Engenuity)

Figure 3 – Distribuição do tipo de detecção por etapa no cenário FIN7 (Image source: MITRE Engenuity)

Dividindo a emulação de ataque em um nível mais granular, dentre as 162 subetapas da emulação, o ESET Enterprise Inspector detectou 147 subetapas (91%). As Figuras 4 e 5 ilustram os diferentes tipos de detecção por subetapa.

Figure 4 – Distribuição do tipo de detecção por subetapa no cenário Carbanak (Image source: MITRE Engenuity)

Figure 5 – Distribuição do tipo de detecção por subetapa no cenário FIN7 (Image source: MITRE Engenuity)

Como os resultados indicam, a solução EDR da ESET fornece aos defensores uma excelente visibilidade das ações do attacker no sistema comprometido em todos os estágios do ataque.

Embora a visibilidade seja uma das métricas mais importantes, ela não é a única. Talvez a estratégia de alerta (que não faz parte da avaliação em si) seja ainda mais importante para alguns analistas do SOC. Esse ponto discutiremos mais tarde.

Outra métrica que pode ser importante para alguns é a cobertura analítica, composta de detecções que fornecem contexto adicional, por exemplo, do por quê o invasor executou uma ação específica no sistema. Ilustrado pelos três tons de verde (Geral, Tática e Técnica) nos gráficos acima, o ESET Enterprise Inspector forneceu essas informações extras para 93 das subetapas (57%).

Observe que a ESET não participou da parte Linux da avaliação - as subetapas do Linux são marcadas nos resultados como N/A. O ESET Enterprise Inspector está disponível atualmente para Windows e macOS (a proteção do macOS não foi testada nesta rodada da avaliação), enquanto a integração para Linux está prevista para o final de 2021.

A ESET participou da avaliação de proteção opcional, com o ESET Endpoint Security intervindo automaticamente em 9 de 10 cenários de teste.

Por que não alcançamos 100% de cobertura

Detecções do Linux à parte (observe que embora a solução EDR da ESET para Linux não estivesse disponível no momento desta rodada de avaliação, o ecossistema da ESET fornece proteção de endpoint para Linux - mas isso estava fora do escopo desta avaliação), o ESET Enterprise Inspector não identificou 15 das 162 subetapas. Esses "erros" se enquadram em uma de duas categorias:

  1. O relatório de alguns eventos de fontes de dados específicas é desativado intencionalmente para reduzir o ruído na dashboard.
  2. A fonte de dado(s) para as detecções sem visibilidade ainda não foram implementadas, mas as adições estão planejadas para as próximas versões.

Exemplos de detecções que ainda temos que implementar são pass the hash (subetapa 5.C.1), conexão de comando e controle para um proxy (subetapa 19.A.3) e monitoramento de APIs adicionais (por exemplo, subetapas 4.A.1, 9.A.2, 9.A.4 e 9.A.5). Consideramos o último uma prioridade mais alta e estamos planejando adicionar essas detecções na próxima versão do ESET Enterprise Inspector.

A razão pela qual decidimos não implementar algumas funcionalidades de monitoramento de API é devido ao enorme número de chamadas de API presentes no sistema - monitorar todas elas não é viável nem desejável. Em vez disso, é importante selecionar cuidadosamente apenas aqueles que são úteis para o analista do SOC e que não produzem ruído desnecessário.

Um exemplo da segunda categoria, perdidas por escolha, são as operações de leitura de arquivo (por exemplo, partes das subetapas 2.B.5, 9.A.5 e 20.B.5). Novamente, devido ao grande número de tais operações no sistema, registrar todas elas não é viável, pois isso seria um enorme consumo de recursos. Em vez disso, optamos por uma rota muito mais eficiente: monitorar operações de leitura de arquivos de arquivos-chave cuidadosamente selecionados (por exemplo, arquivos que armazenam credenciais de login do navegador), enquanto também monitoramos o tráfego de rede para o processo correspondente.

O princípio fundamental ao projetar uma solução EDR eficaz (e isso se aplica ao software de segurança de endpoint também) é o equilíbrio. Em teoria, é fácil criar uma solução que atinge 100% de detecções - basta detectar tudo. Obviamente, tal solução seria quase inútil, e é precisamente a razão pela qual os testes de proteção de endpoint tradicionais sempre incluíram uma métrica para falsos positivos e um teste comparativo verdadeiro não pode ser feito sem o teste de falsos positivos.

Sim, a situação é um pouco diferente com o EDR em comparação com a proteção do endpoint (porque você pode monitorar ou detectar sem alertar), mas os princípios ainda se aplicam: muitas detecções criam muito ruído, levando à fadiga do alerta. Isso causa um aumento da carga de trabalho para os analistas do SOC, que precisam filtrar uma grande quantidade de detecções ou alertas, levando ao oposto exato do efeito desejado: isso desviaria a atenção dos alertas genuínos de alta gravidade. Além do aumento da carga de trabalho humana, muitas detecções de importância inferior também aumentam os custos devido aos requisitos de maior desempenho e armazenamento de dados.

Nota 1 - Este comentário discute as operações de leitura de arquivo em particular, que são as mais numerosas. Além das operações de leitura de arquivo, o ESET Enterprise Inspector também fornece visibilidade de outras operações importantes do sistema de arquivos, como gravar, renomear e excluir arquivos, que não são tão numerosos, portanto, há menos restrições sobre quais arquivos monitorar.

Dito isso, boa visibilidade é uma métrica importante para uma solução de EDR (o resultado da avaliação da ESET foi superior a 90%); não é apenas a única métrica importante a considerar.

Estratégia de alerta do ESET Enterprise Inspector

Em nossa opinião, o objetivo principal - e a característica mais importante - de uma boa solução de EDR é sua capacidade de detectar um ataque em andamento e ajudar o defensor a reagir, mitigar e investigar.

Como já explicado, um dos principais problemas que uma solução EDR ineficaz pode apresentar para um analista do SOC é a fadiga do alerta. A maneira como uma solução EDR eficaz aborda esse problema - além de priorizar as fontes de dados, conforme destacado na seção anterior - é uma boa estratégia de alerta. Em outras palavras, uma solução de EDR deve apresentar todas as atividades monitoradas dentro do(s) sistema(s) aos analistas do SOC de uma forma que direcione seu foco para os prováveis indicadores de um ataque.

Devido à abordagem única de cada fornecedor sobre a estratégia de alerta e a dificuldade compreensível em compará-los, este aspecto importante não fazia parte direta da avaliação. Em vez disso, a estratégia de alerta é resumida pelo MITER na seção overview dos resultados de cada fornecedor.

Para o ESET Enterprise Inspector, a estratégia de alerta é descrita pela MITRE Engenuity da seguinte forma: “Os eventos que correspondem à lógica analítica para comportamentos maliciosos são atribuídos a valores de gravidade apropriados (informativo, aviso, ameaça). Esses eventos alertados também são enriquecidos com informações contextuais, como uma descrição e mapeamentos potenciais para as táticas e técnicas ATT&CK relacionadas. Os eventos alertados são agregados em visualizações específicas, bem como destacados (com ícones e cores específicos) quando incluídos como parte de outras visualizações de eventos/dados do sistema.”

Como exemplo, a Figura 6 mostra a visão detalhada de um alerta gerado após a emulação da subetapa 8.A.3.

Nesta etapa, o invasor configura o acesso secreto ao alvo por meio de um shell reverso HTTPS.

O ESET Enterprise Inspector detectou a criação deste túnel SSL e coletou informações contextuais adicionais úteis para o analista SOC, incluindo detalhes sobre a incompatibilidade de protocolo e uso de porta não padrão, e a cadeia de execução e árvore de processo - destacando outros eventos relacionados que eram suspeitos ou claramente malicioso.

Uma explicação do comportamento observado é fornecida, juntamente com um link para a base de conhecimento MITRE ATT&CK e as causas típicas para esse tipo de comportamento, tanto malicioso quanto benigno. Isso é especialmente útil em casos ambíguos onde eventos potencialmente perigosos são usados para fins legítimos devido aos processos internos específicos da organização, que são para o analista do SOC investigar e distinguir.

Ações recomendadas também são fornecidas, bem como ferramentas para mitigar a ameaça por ações como encerrar o processo ou isolar o host, o que pode ser feito no ESET Enterprise Inspector.

Na última subetapa do cenário de emulação Carbanak (10.B.1), o adversário tenta acessar a área de trabalho do alvo via VNC. Novamente, essa comunicação é claramente visível para o ESET Enterprise Inspector e sinalizada como suspeita, com todos os detalhes relevantes fornecidos - consulte a Figura 7 acima. Observe que o protocolo é identificado com base na análise do conteúdo do tráfego de rede, o que significa que mesmo se portas de rede não padrão forem usadas, o protocolo será identificado, e mesmo se o processo de origem for ofuscado ou técnicas de mascaramento forem empregadas, as regras correspondentes em O ESET Enterprise Inspector pode ser acionado.

Voltando ao propósito de uma boa solução de EDR conforme descrito no início desta seção, a função essencial não é necessariamente alertar o analista a cada procedimento realizado durante um ataque (ou subetapa na avaliação da ATT&CK), mas sim para alertá-lo de que ele ocorreu (ou que está em andamento)... e depois ajudá-lo a investigar, fornecendo a capacidade de navegar de forma transparente por evidências detalhadas e logicamente estruturadas do que aconteceu no ambiente e quando. Esta é uma funcionalidade na qual continuamos a colocar grande ênfase no desenvolvimento do ESET Enterprise Inspector.

Conclusão

Estamos felizes em ver que a avaliação rigorosa do MITRE ATT&CK demonstrou as qualidades de nossa tecnologia EDR e validou a visão e o roteiro que temos para o ESET Enterprise Inspector olhando para o futuro.

É importante ter em mente que o desenvolvimento de uma boa solução de EDR não pode ser um empreendimento estático - à medida que grupos adversários mudam e melhoram suas técnicas, o EDR e as plataformas de proteção de endpoint devem acompanhar o ritmo para continuar protegendo as organizações contra ameaças do mundo real.

E esse é exatamente o caso do ESET Enterprise Inspector: não é uma solução EDR cujo desenvolvimento está desconectado da pesquisa de ameaças ativas. Não, são nossos especialistas que rastreiam os grupos APT e cibercriminosos mais perigosos do mundo, que também garantem que as regras do ESET Enterprise Inspector sejam eficazes e capazes de detectar atividades maliciosas em sistemas direcionados.