Global
Africa
South Africa
Albania
Australia
Austria
Belgium
Bosnia Herzegovina
Bulgaria
Canada
Canada FR
Croatia
Czech Republic
Denmark
Estonia
Finland 
Finland (English)
France
Germany
Hong Kong
Hungary
Iceland
India
Indonesia
Ireland
Israel
Italy
Kosovo
Latvia
Lithuania
Malaysia
Middle East
Montenegro
New Zealand
North Macedonia
Norway
Philippines
Poland
Portugal
Romania
Saudi Arabia
Serbia
Singapore
Slovakia
Slovenija
Spain
Sweden
Switzerland DE
Switzerland FR
Thailand
Turkey
USA
Ukraine
United Kingdom
Vietnam
MITRE ATT&CK Framework: 4 vragen om te stellen aan NDR-providers over hun dekking
Als je op zoek bent naar een endpoint detectie- en responsoplossing (EDR), kun je de resultaten van de MITRE Engenuity ATT&CK® Evaluaties gebruiken om te begrijpen in welke mate deelnemende EDR-aanbieders bepaalde aanvalsmethoden die zijn gekoppeld aan specifieke bedreigingen kunnen detecteren en hiertegen kunnen beschermen.
Als je echter een netwerkdetectie- en responsoplossing (NDR) overweegt en wilt zien hoe verschillende NDR-aanbieders scoren ten opzichte van de MITRE ATT&CK-matrix voor Enterprise, moet je zorgvuldig de beweringen van NDR-aanbieders controleren over hun dekking. Omdat MITRE Engenuity momenteel geen NDR-aanbieders evalueert, is er geen enkele uniforme, onafhankelijke, branchebrede methodologie voor het valideren van de ATT&CK-technieken die NDR-oplossingen afdekken. Dit zorgt voor veel verwarring op de markt.
Bij het evalueren van de MITRE ATT&CK-dekking van NDR-aanbieders zijn de volgende overwegingen van belang:
-
- Hoe definieer of begrens je de dekking? De huidige MITRE ATT&CK-matrix voor Enterprise bestaat uit 201 gedocumenteerde aanvalstechnieken. Van die 201 technieken beschouwt MITRE er 52%, oftewel 106, als “netwerkadresseerbaar”, wat betekent dat ze via het netwerk kunnen worden gedetecteerd. Bepaalde “pre-compromis”-technieken, zoals Gather Victim Host Information (T1592), Compromise Accounts (T1586) en Stage Capabilities (T1608), zullen nooit door een NDR-tool worden gedetecteerd (of zelfs door een EDR-tool).
Vraag dus bijvoorbeeld als een leverancier beweert 92% van de ATT&CK-framework af te dekken, of dat 92% van de 201 technieken betekent, of 92% van de 106 technieken die MITRE als netwerkadresseerbaar beschouwt, of iets anders. Als ze zeggen 92% van alle 201 technieken af te dekken, wees dan zeer wantrouwig.
-
- Verschaft de leverancier de dekking standaard via hun NDR-tool, of is uitgebreide integratie vereist? Sommige leveranciers vullen hun ATT&CK-frameworkdekking aan door tactieken en technieken op te nemen die door hun integratiepartners worden afgedekt of door andere, niet-NDR-producten. Dit kan misleidend zijn. Controleer goed welke specifieke technieken NDR-producten inherent kunnen detecteren, zonder integraties.
- Hoe sterk zijn de detecties waarop de inheemse ATT&CK-frameworkdekking van de leverancier is gebaseerd? ATT&CK-frameworkdekking gaat niet alleen om een numeriek spel. Bij het evalueren van NDR-oplossingen tegen het ATT&CK-framework is het belangrijk om de robuustheid van detecties mee te wegen naast het aantal technieken dat het product in staat is te detecteren. RevealX bijvoorbeeld heeft 15 manieren om het gebruik van versleutelde kanalen ter verberging van C2-communicatie (T1573) te detecteren en 10 manieren voor phishingdetectie (T1566), gebruik van externe remote services voor initiële toegang (T1133), exploitatie van remote services en meer.
-
- Hoe tellen ze technieken: per stuk of collectief per tactiek? Sommige ATT&CK-technieken zijn van toepassing op meer dan één tactiek, de hogere categorieën die de doelen van aanvallers beschrijven (bijv. verkenning, initiële toegang, uitvoering, persistentie, exfiltratie, impact, etc.). T1037 (Boot of Logon Initialisatiescripts) kan bijvoorbeeld worden gebruikt voor persistentie of escalatie van privileges. T1197 (BITS Jobs) eveneens voor persistentie of om organisatiedefensies te omzeilen. Een leverancier kan dan kiezen de individuele technieken mee te tellen, of alle technieken per tactiek op te tellen, wat resulteert in een hoger totaal als één techniek meerdere tactieken bestrijkt.
Onafhankelijke validatie van RevealX-dekking tegen MITRE ATT&CK
In een poging om enige verwarring over MITRE ATT&CK-dekking op de NDR-markt weg te nemen, heeft ExtraHop opdracht gegeven aan Enterprise Strategy Group (ESG) van TechTarget om een technische validatie uit te voeren van de ATT&CK-technieken die RevealX detecteert.
In hun analyse bevestigde ESG dat RevealX standaard dekking biedt voor een totaal van 106 individuele ATT&CK-technieken, waaronder 55 van de 60 technieken die MITRE ATT&CK als netwerkadresseerbaar beschouwt. De vijf netwerkadresseerbare technieken die RevealX niet afdekt, zijn nooit in gebruik waargenomen of zo zeldzaam dat ze essentieel theoretisch zijn.
Merkbaar is dat 20 van de 106 technieken die RevealX detecteert over meerdere ATT&CK-tactieken heen kunnen worden gebruikt. Tel je alle technieken op die RevealX per tactiek detecteert, dan kom je op 126 technieken. Maar nogmaals, dat is omdat sommige technieken meerdere tactieken bestrijken. Telt je de technieken individueel, dan zijn het er 106.
ESG bevestigde ook dat RevealX de tijd tot detectie en reactie kan verkorten door contextuele informatie over gedetecteerde aanvallen te geven ter ondersteuning van onderzoeken, en door vereenvoudigde werkstromen te bieden. Dit is niet de eerste keer dat een derde partij de uitkomsten valideert die RevealX voor klanten biedt: In “The Total Economic ImpactTM of ExtraHop Reveal(x) 360”, een gestuurde studie, concludeerde Forrester Consulting dat een compositieorganisatie gebaseerd op interviews met een steekproef RevealX 360-klanten de tijd tot detectie van bedreigingen met 83% en de tijd tot oplossing van bedreigingen met 87% verminderde.
RevealX onderscheidt zich en levert brede MITRE ATT&CK-dekking
RevealX kan brede dekking bieden tegen het MITRE ATT&CK-framework vanwege de volgende onderscheidende mogelijkheden ten opzichte van concurrerende NDR-oplossingen:
Volledige pakketcaptuur: RevealX vangt volledige pakketten af over de data link, netwerk-, transport-, sessie-, presentatie- en toepassingslagen van het OSI-model (OSI-lagen 2-7) en doet dit op grote schaal en met lijnsnelheden. Volledige pakketcaptuur stelt RevealX in staat rijkere context te verzamelen over wat er op het netwerk van een organisatie gebeurt. Klanten kunnen met RevealX zien wat elk pakket op elk moment op hun hele netwerk doet. Andere NDR-aanbieders analyseren alleen gedeeltelijke pakketten of netflowverkeer, of doen slechts diepe pakketinspectie, die gemakkelijk omzeild kan worden, of inspecteren alleen lagen 3 en 4 van het OSI-model.
Protocolbeheersing: RevealX ontcodeert meer dan 70 applicatie-, database-, netwerk- en internetprotocollen in real-time op applicatielagen, waaronder belangrijke Microsoft-protocollen als Kerberos, MSRPC, LDAP, WINRM, SMBv3 en NTLM. Microsoft-protocolbeheersing is cruciaal omdat aanvallen op Active Directory, Kerberos-authenticatie en PowerShell de laatste jaren dramatisch zijn toegenomen, resulterend in compromissen bij duizenden organisaties.
Vertrouwensvolle decryptie: RevealX kan versleutelde verkeersaanvallen en living-off-the-land-technieken detecteren dankzij geïntegreerde decryptie tot 100Gbp/s zonder man-in-the-middle of break-and-inspect benaderingen – sneller dan concurrenten. Vergeleken met encrypted traffic analysis in andere oplossingen dat dieper inzicht geeft en ook versleutelde Microsoftprotocolaanvallen oppikt.
Machine learning: RevealX voert metriek- en gedragsgebaseerde detecties uit gedreven door machine-analyse van meer dan 5.000 attributen, waardoor het sneller en nauwkeuriger variaties en geavanceerde aanvallen detecteert, zoals die gebruikmaken van geldige referenties. ExtraHop heeft 70 AI-patenten en RevealX maakt gebruik van vijf AI-vormen, waaronder predictieve modellen, graafalgorithmica, deep learning, clustering en clustering link prediction.
Wilt u meer weten over de ATT&CK-technieken neem dan contact op met Exclusive Networks op +31 (0)499 462121 of mail naar info@exclusive-networks.nl
