Bl0ckch41nnewsCómo interpretar una evaluación MITRE Engenuity sobre proveedores de seguridad ~ Segu-Info

Las pruebas exhaustivas e independientes son un recurso vital para analizar
las capacidades del proveedor para protegerse contra amenazas cada vez más
sofisticadas contra la organización. Y quizás ninguna evaluación sea más
confiable que la evaluación anual
MITRE Engenuity ATT&CK.

Esta prueba es fundamental para evaluar a los proveedores porque
es prácticamente imposible evaluar a los proveedores de ciberseguridad en
función de sus propias afirmaciones de desempeño. Junto con las verificaciones de referencias de proveedores y las
evaluaciones de prueba de valor (POV), una prueba en vivo, los resultados de
MITRE agregan información objetiva adicional para evaluar de manera integral a
los proveedores de ciberseguridad.

A continuación analizaremos la metodología de MITRE para probar a los
proveedores de seguridad contra amenazas del mundo real, y la
empresa Cynet ofrece una interpretación de los resultados
e identifica las principales conclusiones.

¿Cómo prueba MITRE Engenuity a los proveedores durante la evaluación?

La evaluación realizada por MITRE Engenuity prueba las soluciones de
protección de end-points contra una secuencia de ataque simulada,
basada en enfoques de la vida real adoptados por conocidos grupos de amenazas
persistentes avanzadas (APT).
La evaluación de 2023 probó 31 soluciones de proveedores emulando las
secuencias de ataque de
Turla,
un sofisticado grupo de amenazas con sede en Rusia y conocido por haber
infectado a víctimas en más de 45 países.

Una advertencia importante es que MITRE no clasifica ni califica los
resultados de los proveedores. En cambio, los datos de prueba sin procesar se
publican junto con algunas herramientas básicas de comparación en línea.
Luego, los compradores pueden utilizar esos datos para evaluar a los
proveedores en función de las prioridades y necesidades únicas de su
organización. Las interpretaciones de los resultados por parte de los
proveedores participantes son sólo eso: sus interpretaciones.

Entonces, ¿cómo se interpretan los resultados?

Ésa es una gran pregunta. Los resultados de la evaluación MITRE ATT&CK no
se presentan en un formato al cual estemos acostumbrados a digerir. En
general, los investigadores declaran «ganadores» para aligerar la carga
cognitiva de determinar qué proveedores tienen el mejor desempeño. En este
caso, identificar al «mejor» proveedor es subjetivo.

Una vez emitidas estas exenciones de responsabilidad, revisemos ahora los
resultados para comparar y contrastar el desempeño de los proveedores
participantes con respecto a Turla.

Resumen de resultados de MITRE ATT&CK

La visibilidad general es el número total de pasos de ataque detectados en los
143 subpasos. Cynet define la calidad de la detección como el porcentaje de
subpasos del ataque que incluyen «detecciones analíticas: aquellas que
identifican la táctica (por qué puede estar ocurriendo una actividad) o la
técnica (por qué y cómo está ocurriendo la técnica).

MITRE permite a los proveedores reconfigurar sus sistemas para intentar
detectar amenazas que pasaron por alto o mejorar la información que
proporcionan para la detección. En el mundo real no podemos darnos el lujo de
reconfigurar nuestros sistemas debido a una detección deficiente o fallida,
por lo que la medida más realista son las detecciones antes de que se
implementen los cambios de configuración.

Este análisis ilustra qué tan bien funciona una solución a la hora de detectar
amenazas y proporciona el contexto necesario para que las detecciones sean
procesables. Las detecciones omitidas son una invitación a una infracción,
mientras que las detecciones de mala calidad crean trabajo innecesario para
los analistas de seguridad o potencialmente provocan que se ignore la alerta,
lo que nuevamente es una invitación a una infracción.

Fuente:
THN