El recorrido de ESET a lo largo de la Evaluación Enterprise ATT&CK 2024, con fuerte foco en TTPs, demuestra tanto los avances logrados como el margen de mejora continuo de nuestra solución de detección y respuesta, además de ofrecer un contraste interesante frente a las pruebas comerciales.
A seis años del inicio de las evaluaciones MITRE Enterprise, con su foco constante en la emulación de ataques que utilizan una vasta colección de tácticas, técnicas y procedimientos (TTPs), los proveedores se encuentran ahora con escenarios de detección y protección cada vez más evolucionados incorporados a las pruebas. El equipo de expertos de MITRE ha demostrado trabajar de manera ágil, impulsando a los fabricantes a adaptarse a un entorno de evaluación en permanente cambio. Al mismo tiempo, los proveedores que buscan posicionarse como “ganadores” y mejorar sus perspectivas comerciales se enfrentan a una paradoja con MITRE: sigue sin tratarse de una prueba competitiva. En realidad, los aprendizajes que surgen de estas evaluaciones aportan su mayor valor a los analistas de seguridad que operan día a día plataformas de detección y respuesta en endpoints.
La evaluación de este año introdujo cambios sustanciales. En particular, MITRE eliminó la telemetría como categoría de detección, elevando el umbral necesario para que un evento registrado sea considerado una detección. Para contrarrestar la práctica de “optimizar” productos con el objetivo de “ganar” o “detectar todo”, una parte de los subpasos ahora se utiliza para evaluar falsos positivos en lugar de detecciones, mientras que otros subpasos directamente no son evaluados. Como medida adicional para evitar la acumulación de “puntos” a partir de la sobre-detección, MITRE también mide la cantidad de detecciones visibles en el dashboard, reduciendo así cualquier ventaja basada en volúmenes inflados de alertas.
Por su parte, ESET también introdujo cambios relevantes, especialmente con la incorporación de ESET Incident Creator, un módulo de ESET Inspect orientado a la gestión de amenazas basada en incidentes. Incident Creator demostró claramente su valor durante la fase de detección de la evaluación, al transformar la forma en que los analistas visualizan las detecciones generadas por un ciberataque: las detecciones se agrupan en incidentes, brindando una visión clara y estructurada de cómo se desarrolló cada ataque. Gracias a esta herramienta, ESET logró una excelente visibilidad en todos los escenarios evaluados, detectando todos los pasos y la mayoría de los subpasos relevantes, mientras mantenía un volumen bajo de detecciones. En este contexto, para ESET, la mayoría de los subpasos no detectados —como llamadas a APIs— aportan poco o ningún valor operativo al analista, pueden identificarse por otros medios y no representan prácticamente ninguna pérdida de información para la reconstrucción del ataque.
Lo que aprendimos sobre nuestro producto
La edición más reciente de las ATT&CK Evaluations Enterprise enfrentó a las plataformas de detección y respuesta de múltiples proveedores en tres escenarios de ataque —DPRK, Cl0p y LockBit— junto con una batería de 10 pruebas de protección. Dado que los grupos de amenazas seleccionados cuentan con investigaciones ampliamente reconocidas, los ingenieros de ESET estaban especialmente interesados en observar cómo el comportamiento de ESET Inspect podía traducirse en un apoyo efectivo para los operadores de SOC, así como para las organizaciones que utilizan servicios de seguridad gestionados como ESET MDR.
En línea con el enfoque de ESET en la eficiencia, y con las nuevas reglas de MITRE orientadas a desalentar una estrategia de “detectar todo”, los tres ataques generaron numerosas detecciones —correlacionadas en incidentes— que permitieron a los equipos de respuesta comprender fácilmente cómo se desarrollaron los ataques y actuar con rapidez para su remediación. Además, el módulo Incident Creator eliminó una cantidad significativa de ruido, en beneficio de los analistas de amenazas, otro aspecto prioritario para ESET tanto dentro como fuera de este entorno de evaluación.
Desactivar la protección para la evaluación y volver a activarla en el mundo real
Dado que uno de los objetivos de MITRE es examinar la cobertura de las TTPs incluidas en la base de conocimiento ATT&CK, los productos de los distintos proveedores se configuran en los escenarios de detección para no bloquear ni neutralizar ninguna de las amenazas que encuentran. Este es un punto clave, ya que en el mundo real muchas de las amenazas utilizadas en estos escenarios habrían sido bloqueadas en el primer contacto o poco tiempo después.
En el caso de ESET, hay varios ejemplos relevantes: las muestras de ransomware Cl0p y LockBit, junto con otras muestras adicionales, habrían sido bloqueadas en la primera ejecución de la evaluación. Si bien esto queda enmascarado por el foco de la evaluación en ESET Inspect, en realidad fue ESET LiveGuard Advanced, una capa tecnológica clave dentro de la plataforma ESET PROTECT, la responsable de la detección y el bloqueo inicial de estas muestras de ransomware. El malware restante habría sido bloqueado en la segunda ejecución. En el contexto real, esto es una muy buena noticia, ya que significa que los clientes se benefician de una protección eficaz y oportuna frente a las amenazas.
En cuanto a las pruebas de protección, si bien existen algunos aspectos en los que se puede mejorar la cobertura de nuestras soluciones, las evaluaciones de 2024 se centraron principalmente en subpasos aislados y, en algunos casos, no claramente maliciosos, que en un entorno real podrían ser comportamientos legítimos y cuya interrupción podría afectar negativamente a los clientes. En escenarios reales, los ciberatacantes no ejecutan técnicas y procedimientos de manera “atómica”, es decir, desconectados de una cadena de ataque completa. Por el contrario, sus operaciones se construyen progresivamente, y la función de las soluciones de detección y respuesta es correlacionar todo el contexto para identificar correctamente cuándo hay una actividad maliciosa en curso.
Nos queda la sensación de que la búsqueda de cobertura total de la base de conocimiento ATT&CK no necesariamente mejora la defensa ni ayuda automáticamente a los analistas de seguridad en su trabajo diario. A diferencia de la investigación forense o el análisis de malware, la detección y respuesta requieren solo suficiente cobertura de técnicas (o subpasos) altamente prevalentes o graves para que el analista pueda activar una respuesta. La ausencia de detecciones para técnicas de baja prevalencia o gravedad no se traduce necesariamente en menor protección. Muy al contrario, podría significar que el trabajo se simplifica y la remediación es más rápida, ya que los pasos principales necesarios para identificar el ataque se destacan de inmediato, permitiendo así desencadenar una respuesta oportuna y adecuada —en algunos casos incluso con bloqueo automático de la amenaza detectada.
Nuevamente, fuera de las Evaluaciones ATT&CK y de los escenarios de prueba atómica, los tests de terceros suelen diseñar escenarios que no priorizan la cobertura de TTPs. En cambio, miden el bloqueo, los falsos positivos, el rendimiento, el costo y otros aspectos con una suite de productos plenamente funcional. También se enfocan más en los pasos críticos de un ataque, como el compromiso del endpoint y la consolidación de acceso, la propagación interna y la violación de activos. La instancia definitiva es detener un ataque, ya sea bloqueando archivos maliciosos, terminando procesos maliciosos o, al menos, proporcionando al analista de seguridad los medios para hacerlo.
“Lo que diferencia a esta solución es su capacidad de ofrecer tiempos de respuesta rápidos, inteligencia de amenazas sólida y protección eficaz contra ransomware, todo ello brindando además un alto nivel de cumplimiento normativo y soporte de localización”.
Warwick Ashford, Analista Senior en KuppingerCole
Varios resultados sólidos demuestran la eficacia del rendimiento en entornos reales. Esto incluye pruebas prácticas, como el Endpoint Prevention & Response (EPR) Test 2024 y 2023 de AV-Comparatives, así como perspectivas de analistas, incluyendo la selección de ESET como líder tanto en el Leadership Compass para MDR como en el Leadership Compass para Endpoint Protection Detection & Response (EPDR) de KuppingerCole.
En el resumen ejecutivo de KuppingerCole sobre el mercado EPDR, se analiza el uso generalizado del framework MITRE ATT&CK en la industria, así como el hecho de que las plataformas de protección de endpoints y las herramientas EDR convergieron en la integración lógica de Endpoint Protection Detection & Response (EPDR). Esto significa que la mayoría de los proveedores buscan mejorar basándose en la micro-emulación de técnicas y procedimientos de MITRE, mientras desarrollan un EPDR integrado y exitoso, validado mediante pruebas en entornos reales según estándares de la industria. Idealmente, cubrir ambos enfoques permite lograr una detección y respuesta “lista para el combate”.
EPDR listo para la batalla
De hecho, las soluciones EPDR son sistemas preparados para la batalla que instituciones y empresas implementan y operan actualmente. Más allá de esto, ESET continúa explorando nuevas formas de desafiar sus productos y a sus ingenieros. Tal vez el punto máximo de esta búsqueda se alcance con nuestra participación regular en Locked Shields, una simulación militar del espacio digital de batalla actual organizada por el Centro de Excelencia de Ciberdefensa Cooperativa de la OTAN.
En 2024, más de 60 ingenieros de sistemas de ESET, analistas de monitoreo de seguridad, investigadores de malware y especialistas en comunicaciones se unieron a defensores de los ejércitos de Eslovaquia y Hungría, así como del sector privado y académico, para proteger nuestro espacio de batalla asignado.
Nuestra herramienta, ESET Inspect, respaldada por nuestra plataforma de seguridad multinivel ESET PROTECT, fue central para que Eslovaquia-Hungría alcanzara el cuarto lugar entre 18 equipos participantes y ayudó al equipo a lograr los tres primeros puestos en inteligencia de amenazas cibernéticas, protección del cliente y análisis forense. Esta simulación cibernética fue una experiencia intensamente inmersiva para todos los tecnólogos involucrados, ya fuera como analistas de amenazas trabajando para comprender los TTP y anticipar las siguientes etapas de un ataque, o como ingenieros configurando defensas cibernéticas.
Conclusión
ESET sigue tan motivado para aprovechar las Evaluaciones Enterprise de MITRE y ofrecer al público técnico información crítica como para invertir nuestro conocimiento institucional en Locked Shields, avanzando tanto nuestra práctica de seguridad como la de nuestros socios de la OTAN. Los resultados de nuestro compromiso con MITRE, ya sea mediante las más de 350 contribuciones a la base de conocimiento ATT&CK o la participación en las Evaluaciones ATT&CK, continúan traduciendo en capacidades de detección y respuesta afinadas para el mundo real, protegiendo nuestro progreso compartido.