Seis anos após o início das avaliações Enterprise do MITRE, que mantêm um foco consistente em emulações de ataques baseadas em uma ampla coleção de táticas, técnicas e procedimentos (TTPs), os fornecedores agora veem cenários mais evoluídos de detecção e proteção sendo incorporados às avaliações. A equipe de especialistas do MITRE vem trabalhando de forma claramente ágil, levando os fornecedores a se adaptarem continuamente ao novo ambiente de testes.
Ao mesmo tempo, os fornecedores que buscam se posicionar para “vencer” e impulsionar resultados comerciais enfrentam cada vez mais um paradoxo em relação ao MITRE: isso ainda não é um teste competitivo. Na prática, os principais aprendizados gerados são mais valiosos para os analistas de segurança que atuam no dia a dia operando plataformas de detecção e resposta em endpoints.
A avaliação deste ano trouxe algumas mudanças substanciais. Em especial, o MITRE removeu a telemetria das categorias de detecção, elevando o critério para que um evento registrado seja considerado, de fato, uma detecção. Para evitar que fornecedores “joguem com o teste” tentando “vencer” ou “detectar tudo”, parte dos subpassos agora serve para testar falsos positivos, e não detecções, enquanto outros subpassos simplesmente não são avaliados.
Por fim, como mais uma forma de coibir a obtenção de “pontos” por meio da estratégia de “detectar tudo”, o MITRE passou a medir também o volume de detecções exibidas no dashboard, reduzindo novamente a possibilidade de “pontuar” inflando artificialmente a quantidade de alertas.
A ESET também trouxe mudanças relevantes para a mesa, principalmente com a introdução do ESET Incident Creator, um módulo do ESET Inspect voltado ao tratamento de ameaças com foco em incidentes. O Incident Creator comprovou seu valor na parte de detecção da avaliação, transformando a forma como os analistas visualizam as detecções geradas por um ataque cibernético: em vez de uma lista fragmentada de alertas, as detecções são consolidadas em incidentes, oferecendo uma visão focada de como cada ataque evoluiu.
Com essa ferramenta, demonstramos boa visibilidade em todos os cenários de ataque, detectando todas as etapas e a maioria dos subpassos relevantes, mantendo ao mesmo tempo um baixo volume de detecções. Assim, para a ESET, a maioria dos subpassos não detectados, como chamadas de API, traz pouco ou nenhum valor para o analista, pode ser identificada por outros meios e representa praticamente nenhuma perda de informação para a reconstrução do ataque.
O que aprendemos sobre nosso produto
A edição mais recente do ATT&CK Evaluations Enterprise colocou as plataformas de detecção e resposta de diversos fornecedores à prova em três cenários de ataque, chamados DPRK, Cl0p e LockBit, além de uma bateria de 10 testes de proteção. Como há pesquisas amplamente reconhecidas sobre todos os grupos de ameaça escolhidos para os cenários, os engenheiros da ESET estavam especialmente interessados em observar como o comportamento do ESET Inspect poderia se traduzir em suporte prático para operadores de SOC e para organizações que utilizam serviços de segurança como o ESET MDR.
Alinhado ao foco da ESET em eficiência e às novas regras da MITRE, que buscam limitar a abordagem de “detectar tudo”, os três ataques geraram um número significativo de detecções, que foram correlacionadas em incidentes, permitindo que os times de resposta entendessem facilmente como os ataques aconteceram e agissem rapidamente na remediação. Além disso, o módulo Incident Creator reduziu consideravelmente o ruído para os analistas de ameaças, outro ponto prioritário para a ESET, tanto dentro quanto fora desse ambiente de testes.
Desligando a proteção para a avaliação, e ligando novamente no mundo real
Como um dos objetivos da MITRE é avaliar a cobertura de TTPs presentes na base de conhecimento do ATT&CK, os produtos dos fornecedores nos cenários de detecção são configurados para não bloquear nem interromper nenhuma das ameaças encontradas. Esse é um ponto importante, porque, no mundo real, muitas das ameaças usadas nesses cenários teriam sido bloqueadas já no primeiro contato ou pouco tempo depois.
No caso da ESET, há alguns exemplos claros disso: as amostras de ransomware Cl0p e LockBit, assim como algumas outras, teriam sido bloqueadas já na primeira execução da avaliação. Embora isso fique mascarado pelo foco da avaliação no ESET Inspect, quem esteve por trás da detecção e do bloqueio iniciais desses ransomwares foi, na verdade, o ESET Live Guard Advanced, uma camada tecnológica fundamental da plataforma ESET PROTECT. Qualquer malware remanescente teria sido bloqueado na segunda execução. Isso é uma ótima notícia no mundo real, porque significa que os clientes se beneficiam de uma proteção eficiente contra ameaças.
Em relação aos testes de proteção, embora existam alguns pontos em que ainda podemos melhorar a cobertura oferecida por nossos produtos, os testes de 2024 se concentraram principalmente em subetapas isoladas e, às vezes, não claramente maliciosas que, no mundo real, poderiam ser legítimas e, se bloqueadas, causar impacto negativo aos clientes. Em ambientes reais, os cibercriminosos não executam técnicas e procedimentos de forma “atômica”, ou seja, desconectados de uma cadeia completa de ataque. Pelo contrário, suas ações se constroem de forma progressiva, e cabe às soluções de detecção e resposta correlacionar todo o contexto para identificar corretamente que algo malicioso está em andamento.
Figura 1. Detecção do backdoor FULLHOUSE.DOORED no cenário DPRK durante a execução com mudanças de configuração
Figura 2. Detecção do instalador do SDBbot no cenário Cl0p durante a execução com mudanças de configuração
Figura 3. Detecção do ladrão de senhas do Firefox no cenário LockBit durante a execução com mudanças de configuração
Ficamos com a impressão de que a busca por uma cobertura total da base de conhecimento do ATT&CK não necessariamente melhora as defesas nem ajuda automaticamente os analistas de segurança em seu trabalho diário. Diferentemente da área de forense ou de análise de malware, a detecção e resposta exigem apenas cobertura suficiente das técnicas (ou subetapas) mais prevalentes ou mais críticas para que o analista consiga acionar uma resposta. A ausência de detecções para técnicas de baixa prevalência ou baixa severidade não significa, necessariamente, menor proteção. Pelo contrário: pode indicar um fluxo de trabalho mais eficiente e uma remediação mais rápida, já que as etapas principais para identificar o ataque são imediatamente destacadas, permitindo uma resposta adequada e no tempo certo e em alguns casos, inclusive com o bloqueio automático da ameaça detectada.
Da mesma forma, fora do contexto das avaliações do ATT&CK e dos cenários de testes “atômicos”, avaliações de terceiros geralmente não desenham seus cenários priorizando a cobertura de TTPs. Em vez disso, medem bloqueio, falsos positivos, desempenho, custo e outros fatores, considerando um conjunto de produtos totalmente funcional. Elas também tendem a focar mais nas etapas críticas de um ataque, como a comprometimento inicial do endpoint, a movimentação lateral dentro do ambiente e a violação de ativos. No fim das contas, o critério decisivo é interromper o ataque, seja bloqueando arquivos maliciosos, encerrando processos maliciosos ou, no mínimo, oferecendo ao analista os meios necessários para fazê-lo.
O que diferencia essa solução é sua capacidade de oferecer tempos de resposta rápidos, inteligência de ameaças robusta e forte proteção contra ransomware, ao mesmo tempo em que disponibiliza sólido suporte a conformidade regulatória e localização. — Warwick Ashford, analista sênior da KuppingerCole
Uma série de resultados sólidos demonstra a eficácia do desempenho no mundo real. Isso inclui testes práticos, como o Endpoint Prevention & Response (EPR) Test 2024 e 2023 do AV-Comparatives, e avaliações de analistas, como a escolha da ESET como líder tanto no Leadership Compass for MDR quanto no Leadership Compass for Endpoint Protection Detection & Response da KuppingerCole.
No resumo executivo da KuppingerCole sobre o mercado de EPDR, a consultoria discute o uso mais amplo do framework MITRE ATT&CK pela indústria, assim como o fato de que as plataformas de proteção de endpoint e os conjuntos de ferramentas de EDR convergiram para uma integração lógica chamada Endpoint Protection Detection & Response (EPDR). Isso significa que a maioria dos fornecedores busca evoluir a partir das microemulações de técnicas e procedimentos do MITRE, ao mesmo tempo em que desenvolve soluções EPDR integradas e validadas por testes de mercado padronizados e baseados em cenários reais. Idealmente, cobrir esses dois escopos resulta em uma detecção e resposta prontas para o campo de batalha.
EPDR pronta para o combate
De fato, as soluções de EPDR são os sistemas “prontos para a batalha” nos quais instituições e empresas investem, implementam e operam hoje. Além disso, a ESET continua buscando outras formas de desafiar seus produtos e seus engenheiros. Talvez o ápice dessa busca seja a participação regular no Locked Shields, uma simulação militar do atual campo de batalha digital organizada pelo Centro de Excelência em Defesa Cibernética Cooperativa da OTAN (NATO CCDCOE).
Em 2024, mais de 60 engenheiros de sistemas da ESET, analistas de monitoramento de segurança, pesquisadores e analistas de malware, além de especialistas em comunicação, uniram forças com defensores das forças armadas da Eslováquia e da Hungria, bem como dos setores privado e acadêmico, para defender o espaço digital que lhes foi atribuído.
Nossa ferramenta, o ESET Inspect, apoiada pela plataforma de segurança multicamadas ESET PROTECT, foi central para que a equipe Eslováquia-Hungria alcançasse o quarto lugar entre 18 times participantes e também contribuiu para colocações entre os três primeiros em categorias como inteligência de ameaças cibernéticas, proteção no lado do cliente e forense. Essa simulação de batalha cibernética foi uma experiência intensamente imersiva para todos os profissionais técnicos envolvidos, seja como analistas de ameaças tentando entender os TTPs para antecipar os próximos estágios de um ataque, seja como engenheiros configurando as defesas cibernéticas.
Conclusão
A ESET segue tão motivada a aproveitar as Enterprise Evaluations do MITRE para oferecer às audiências técnicas reflexões críticas e relevantes quanto a investir seu conhecimento institucional no Locked Shields, com o objetivo de evoluir tanto suas próprias práticas de segurança quanto as de seus parceiros da OTAN.
Os resultados desse envolvimento com o MITRE, seja por meio de mais de 350 contribuições para a base de conhecimento ATT&CK, seja pela participação nas ATT&CK Evaluations, continuam se traduzindo em capacidades de detecção e resposta cada vez mais refinadas, ajustadas à realidade e focadas em proteger o nosso progresso coletivo.