Portugal
Espanha
UK
Itália
Escrito por: Meaghan Buchanan
Há mais de sete anos, decidimos mudar a forma como os SOCs abordam a deteção e a resposta a ameaças. Com a introdução do InsightIDR, queríamos abordar os falsos positivos e a complexidade crescente que estava a esgotar os analistas, a deteriorar a postura de segurança e a inibir a escala necessária. Queríamos oferecer uma abordagem mais intuitiva e pragmática, fornecendo a cobertura mais abrangente, com o mais forte sinal/ruído. Hoje, sendo a robusta plataforma XDR que constitui o núcleo da nossa oferta líder de MDR, o InsightIDR evoluiu para se manter na vanguarda das ameaças emergentes e das superfícies de ataque em expansão, mantendo o nosso compromisso de eliminar a complexidade e o ruído que distraem e paralisam as equipas de segurança bem sucedidas.
Agora, temos o orgulho de partilhar a nossa participação e os resultados da mais recente avaliação MITRE Engenuity ATT&CK Evaluation: Enterprise, que destaca a nossa capacidade de reconhecer precocemente ameaças persistentes avançadas e em toda a Kill chain, mantendo uma relação sinal/ruído disciplinada para impulsionar a deteção e a resposta a ameaças bem-sucedidas no mundo real. Pode encontrar os resultados detalhados e informações sobre esta avaliação no site Web MITRE Engenuity ATT&CK Evaluation: Enterprise.
Há muita informação para analisar nestes resultados, por isso, aqui dividimos as principais conclusões no que diz respeito a esta avaliação.
Em primeiro lugar, uma breve introdução: a estrutura MITRE ATT&CK é um catálogo e ponto de referência para tácticas, técnicas e procedimentos (TTPs) de ciberataque. A estrutura fornece às equipas de segurança e risco um vocabulário comum e um guia para visualizar a cobertura de deteção e traçar planos para reforçar as defesas. As avaliações ATT&CK da MITRE Engenuity são um veículo para a comunidade entender como as tecnologias podem ajudar na defesa contra comportamentos adversários conhecidos. Na mais recente avaliação do modelo Enterprise, o foco foi emular o Turla - um sofisticado grupo baseado na Rússia, conhecido por suas invasões direcionadas e furtividade inovadora.
O InsightIDR foi capaz de capturar telemetria e detecções relevantes em todas as 19 fases desse ataque, demonstrando a capacidade de capturar os primeiros indicadores de ameaça e identificar consistentemente comportamentos evasivos à medida que o ataque progredia.
O ataque deste ano foi particularmente complexo, avaliando uma gama diversificada de detecções e tirando partido de várias formas de telemetria de terminais.
Apesar de nem todas as técnicas deixarem vestígios para os responsáveis pela resposta a incidentes analisarem, a maioria deixa vestígios - se tiver as ferramentas certas para os ajudar a procurá-los.
Para atender à necessidade de uma visibilidade mais profunda para identificar esses vestígios de comportamento furtivo do atacante- como os emulados nesta avaliação -, a Rapid7 utilizou o Velociraptor. Para além de ser uma das principais ferramentas de DFIR para suportar este tipo de análise, o Velociraptor também permite a deteção em tempo real que envia alertas diretamente para a investigação existente do InsightIDR, para que os analistas não necessitem de utilizar outra ferramenta. Esta é uma das capacidades emergentes do Velociraptor fortalecida diariamente pela dinâmica comunidade de código aberto. A versão do Velociraptor utilizada nesta avaliação está integrada no nosso Insight Agent existente e é alojada pela Rapid7, a qual beneficia de todas as funcionalidades geradas por open source e dos conhecimentos da comunidade sobre o conjunto de funcionalidades em rápido desenvolvimento.
O mais importante é o facto de termos abordado a avaliação com a intenção de mostrar exatamente como seria a experiência de um cliente do InsightIDR hoje em dia; não mexemos nas configurações do Insight Agent nem criámos excepções novas e irrealistas apenas para esta avaliação. O que se vê é o resultado final. E, de forma consistente, quando falamos com os clientes, eles não estão à procura de tecnologia que dispare alertas em todas as técnicas ou procedimentos subtis. Eles querem saber que, quando algo mau acontece, serão capazes de identificar a ameaça o mais cedo possível, entender rapidamente o alcance do ataque e saber o que podem fazer em relação a essa ameaça. É esse o nosso objetivo e é com grande entusiasmo que o apresentamos com esta avaliação.
Enquanto os ambientes de TI continuam a crescer em diversidade e área de superfície, os endpoints continuam a ser um foco crítico de segurança, uma vez que se encontram cada vez mais distribuídos e continuam a ser fontes ricas de dados e informações proprietárias. As detecções de endpoints, como as apresentadas nesta avaliação, são uma peça importante do puzzle, mas os programas de segurança bem sucedidos devem incluir defesas de endpoints em camadas - juntamente com uma cobertura mais ampla do ecossistema.
Continuamos a investir para fornecer essas defesas em camadas com o nosso Insight Agent único e leve. Desde a prevenção expandida de pré-execução e mitigação proativa de riscos, até a deteção de alta eficácia de ameaças conhecidas e desconhecidas, passando por investigações detalhadas, análise forense, resposta e playbooks automatizados, os clientes confiam no nosso Insight Agent como o núcleo de sua segurança completa de endpoint. Com defesas em camadas na nuvem, na rede, nas aplicações e nos utilizadores, também estamos preparados quando os ataques se estendem inevitavelmente para além do endpoint.
Post original aqui.