ESET, pasaules līderis kiberdrošības jomā, šodien paziņoja par ESET Inspect (iepriekš ESET Enterprise Inspector) dalību MITRE Engenuity ATT&CK® Evaluations for Enterprise ceturtajā kārtā. Šajā ATT&CK novērtējumu kārtā tika izmantotas Wizard Spider un Sandworm draudu grupas, apkopojot rezultātus no 30 iesaistītajiem izstrādātājiem un izceļot ESET novatoriskos pētījumus par Sandworm, īpaši Exaramel aizmugures durvju atklāšanu.
Novērtēšanas pārskats
ATT&CK novērtējumos prioritāte ir uzbrucēju grupas, kurām var būt būtiska ietekme uz uzņēmumiem un valdībām visā pasaulē. Wizard Spider ir finansiāli motivēts noziedzīgs grupējums, kas kopš 2018. gada augusta veic izspiedējvīrusu kampaņas pret dažādām organizācijām, sākot no lielām korporācijām un beidzot ar slimnīcām. Sandworm ir kiberspiegošanas draudu grupa, kas ir pazīstama ar destruktīviem uzbrukumiem, piemēram, 2015. un 2016. gada Ukrainas elektrotīkla pārtraukumiem un 2017. gada NotPetya uzliesmojumu.
Novērtēšanas noteikšanas scenāriji sastāvēja no 10 soļiem Wizard Spider un 9 soļiem Sandworm. Tā kā Linux atbalsts programmā ESET Inspect tika izlaists pēc novērtēšanas, četri ar Sandworm saistītie soļi neietilpa testa apjomā. ESET Inspect atklāja visas 15 piemērojamās darbības (100%). Galvenais rādītājs, kas ir svarīgs SOC analītiķiem, lai saprastu, kas notiek viņu vidē, ir analītika — papildu konteksts — piemēram, kāpēc uzbrucējs veica konkrēto darbību sistēmā. ESET Inspect sniedza šo papildu informāciju par 69 no atklātajiem apakšsoļiem (92%).
Būtiskas XDR funkcijas
Laba XDR risinājuma galvenā loma ne vienmēr ir brīdināt analītiķus par katru procedūru, kas veikta uzbrukuma laikā (vai ATT&CK novērtēšanas apakšsolī). Drīzāk tai vajadzētu brīdināt viņus, ka ir noticis (vai turpinās) uzbrukums, un pēc tam atbalstīt izmeklēšanu, nodrošinot iespēju pārskatāmi orientēties, izmantojot detalizētus un loģiski strukturētus pierādījumus par to, kas noticis vidē un kad. Šī ir funkcionalitāte, uz kuru mēs turpinām likt lielu uzsvaru, izstrādājot ESET Inspect.
Papildus SOC analītiķu brīdināšanai par ļaunprātīgu darbību tiek nodrošināta papildu kontekstuāla informācija, tostarp detalizēti pretinieka izpildītie komandrindas parametri, izpildes ķēde un procesa koks, kas izceļ citus saistītos aizdomīgus vai nepārprotami ļaunprātīgus notikumus.
Tiek sniegts novērotās uzvedības skaidrojums, saite uz MITRE ATT&CK zināšanu bāzi un iespējamie šāda veida uzdevības ļaunprātīgie un labdabīgie skaidrojumi. Tas ir īpaši noderīgi neskaidros gadījumos, kad potenciāli bīstami notikumi tiek izmantoti likumīgiem mērķiem organizācijas specifisko iekšējo procesu dēļ, kas SOC analītiķim ir jāizpēta un jānošķir.
Tiek piedāvātas arī ieteicamās darbības, kā arī rīki apdraudējuma mazināšanai, veicot tādas darbības kā procesa pārtraukšana vai resursdatora izolēšana, ko var veikt programmā ESET Inspect.
Atzinība, kas mudina uzlaboties
“ESET tic daudzslāņu, augstas veiktspējas pieejai, lai izstrādātu mūsu noteikšanas tehnoloģijas. ESET Inspect ir mūsu paplašināto noteikšanas un reaģēšanas (XDR) iespēju pamats un sadarbojas ar ESET PROTECT drošības platformu, lai piedāvātu pilnīgu risinājumu, kas ir optimizēts ērtai lietošanai,” sacīja ESET galvenais pētniecības darbinieks Romāns Kováčs. “Mēs esam izsekojuši Sandworm kopš tā pirmsākumiem, būdami pirmie, kas identificēja tās apakšgrupu BlackEnergy un TeleBots darbu un atklāja NotPetya uzliesmojuma izcelsmi. Mums ir ļoti svarīgi būt priekšā līknei, izmantojot mūsu telemetriju, un pārbaudīt savus risinājumus, izmantojot MITRE Engenuity komandas ekspertu objektīvu.
"Šī pēdējā kārta norāda uz ievērojamu produktu pieaugumu no dažādiem izstrādātājiem. Mēs redzam lielāku uzsvaru uz apdraudējumiem balstītām aizsardzības spējām, kas savukārt ir attīstījis informācijas drošības kopienas uzsvaru uz ATT&CK ietvara prioritātes noteikšanu,” sacīja Ešvins Radhakrišnans, MITRE Engenuity ATT&CK novērtēšanas ģenerāldirektora pienākumu izpildītājs.
ATT&CK novērtējumi parāda, ka ESET Inspect spēj nodrošināt aizsargus ar izcilu redzamību un kontekstu visos uzbrukuma posmos. Kā XDR iespējojošs risinājums ESET Inspect ir izsmalcināts rīks ar uzlabotām draudu meklēšanas un reaģēšanas uz incidentiem iespējām, un kopā ar ESET PROTECT piedāvā dziļu tīkla redzamību, mākoņa aizsardzību pret draudiem un daudz ko citu. ESET savu biznesa risinājumu dēļ nepārtraukti tiek nosaukts par labāko spēlētāju un nozares līderi.