MITRE is niet zomaar een bedrijf dat beveiligingssystemen vergelijkt. Het gaat om een non-profitorganisatie met als missie het creëren van een veiligere wereld. Iedereen die enigszins bekend is met de wereld van cybersecurity zal weten dat MITRE vooral bekend is om zijn databank van Common Vulnerabilities and Exposures (CVE). Enige tijd geleden ging het bedrijf een stap verder en creëerde het de dreigingsmatrix MITRE ATT&CK (Adversarial Tactics, Techniques & Common Knowledge).
Wat is MITRE ATT&CK?
In principe is MITRE ATT&CK een open kennisbank met daarin de technieken die gebruikt worden in verschillende gerichte aanvallen. De data worden in matrix-vorm gepresenteerd en bieden een overzicht van hoe aanvallers bedrijfsinfrastructuren penetreren en voet aan de grond krijgen, de trucs die ze gebruiken om onder de radar te blijven, enzovoorts. Het is een dreigingsmatrix op ondernemingsniveau, maar MITRE werkt ook aan matrices over de tactieken die cybercriminelen gebruiken voor cyberaanvallen op mobiele apparaten en industriële controlesystemen.
Het draait bij MITRE ATT&CK echter niet alleen om het verzamelen van informatie omwille van kennis. Het is bedoeld om het bouwen van dreigingsmodellen voor verschillende industrieën te vereenvoudigen, en belangrijker nog: het kan worden gebruikt om te bepalen welke bekende dreigingen een specifiek systeem of combinatie van systemen kan detecteren. In theorie gaat dit als volgt: een bedrijf dat op zoek is naar een systeem om zijn infrastructuur te beschermen vergelijkt de mogelijkheden van elke kandidaat met de ATT&CK-matrix en kijkt welke dreigingen overblijven. Het werkt eigenlijk als een spelletje bingo. In de praktijk voert MITRE om te begrijpen welke dreigingen een bepaald beveiligingsproduct detecteert test uit die bekend staan als ATT&CK-beoordelingen.
ATT&CK-beoordelingen en hoe ze werken
MITRE-onderzoekers kiezen een bekende APT-actor en emuleren gedurende een periode van meerdere dagen aanvallen in de testomgeving van het beveiligingssysteem dat ze beoordelen, maar ze gebruiken natuurlijk geen identieke replicaties van aanvallen uit het verleden. In plaats daarvan modificeren ze individuele aanvalstools om te ontdekken hoe de oplossing verschillende schadelijke technieken detecteert tijdens de fases van een aanval. Reponsmechanismen worden tijdens de beoordeling uitgeschakeld (anders zouden sommige fases onmogelijk getest kunnen worden).
De huidige testronde wordt de APT29-beoordeling genoemd. In deze beoordeling emuleren de onderzoekers de inspanningen van de APT29-groep, ook wel bekend als CozyDuke, Cozy Bear en The Dukes. Hier vindt u een gedetailleerd artikel over ATT&CK-beoordelingen.
De geteste producten en de resultaten
De laatste ronde testte onze Kaspersky Endpoint Detection en Response-oplossing en de Kaspersky Managed Protection-service. U kunt in dit artikel meer lezen over de specifieke instellingen.
Onze oplossing demonstreerde een hoog mate van detectie van sleuteltechnieken tijdens cruciale fases van moderne gerichte aanvallen, en in het bijzonder de fases van Uitvoering, Persistentie, Privilege-escalatie en Zijdelingse beweging. Bekijk voor gedetailleerde beoordelingsresultaten en andere ATT&CK-gerelateerde materialen de MITRE ATT&CK-sectie op onze bedrijfswebsite.