A Sophos se destaca nos testes de 2024 da MITRE ATT&CK® Evaluations: Grandes empresas
O MITRE ATT&CK® Evaluations ajuda as organizações a entender melhor a eficácia das soluções de EDR e XDR na proteção contra os sofisticados ataques multiestágio. Na última avaliação, o Sophos XDR atingiu:
- As mais altas pontuações (“técnicas”) possíveis em 100% das atividades adversárias em amplos cenários de ataque de ransomware em Windows e Linux
- As mais altas pontuações (“técnicas”) possíveis em 78 de 80 atividades totais de adversários em todos os três cenários contextuais
MITRE Enterprise 2024
2024 MITRE ATT&CK® Evaluations: Enterprise (Round 6)
O MITRE ATT&CK® Evaluations está entre os testes independentes de segurança mais respeitados do mundo. Seus testes emulam táticas, técnicas e procedimentos (TTPs) utilizados por verdadeiros grupos adversários e avaliam a habilidade de cada fornecedor participante de detectar, analisar e descrever ameaças, gerando resultados alinhados à linguagem e estrutura do MITRE ATT&CK® Framework.
O Round 6 foca em comportamentos inspirados em três grupos de ameaças conhecidos:
- DPRK (República Popular Democrática da Coreia)
A avaliação emula comportamentos de adversários estabelecidos pela Coreia do Norte que direcionam seus ataques ao macOS via operações multiestágio, incluindo elevação de privilégios e roubo de credenciais. - Ransomware (CL0P e LockBit)
A avaliação emula comportamentos predominantes entre as campanhas usando os ransomwares CL0P e LockBit, incluindo o uso indevido de ferramentas legítimas e a incapacitação de serviços essenciais.
Resultados da avaliação
A Sophos atingiu a cobertura de nível “técnico” completa — a mais alta classificação possível — em 78 das 80 atividades adversárias (subetapas) entre três amplos cenários de ataques.
Interpretação dos resultados de ATT&CK Evaluations
Entenda as classificações e categorizações no round Enterprise.
Interpretação dos resultados de ATT&CK Evaluations
Cada atividade adversária (chamada “subetapa”) emulada pela MITRE durante a avaliação recebe uma das classificações a seguir. A classificação indica a capacidade da solução de detectar, analisar e descrever a atividade adversária, gerando resultados alinhados à linguagem e estrutura do MITRE ATT&CK® Framework.
- Não aplicável — uma “perda”: a atividade do adversário não foi detectada ou a avaliação da subetapa não foi concluída.
- Nenhuma: a execução da subetapa foi bem-sucedida; contudo, o indício oferecido pelo fornecedor não atende ao Critério de detecção documentado, ou não houve evidência da atividade fornecida pelo Red Team. Não há modificadores, observações ou capturas de tela incluídas em Nenhuma.
- Geral: a solução identificou de modo autônomo que eventos maliciosos ou suspeitos ocorreram e informou O que, Onde, Quando e Quem.
- Tática: além do critério de classificação “Geral”, a solução também oferece informações sobre a possível intenção do agente de ataque; o Por que, alinhado às táticas MITRE ATT&CK.
- Técnica — a mais alta classificação possível: além do critério de classificação de “Tática”, a solução também oferece detalhes sobre o método do agente de ataque para atingir uma meta; Como a ação foi desempenhada.
Detecções classificadas como Geral, Tática ou Técnica são agrupadas sob a definição de Cobertura analítica, que mede a capacidade da solução de converter a telemetria em detecções de ameaças acionáveis.
A Sophos atendeu à cobertura de nível “técnico” completa — a mais alta classificação possível — em 78 das 80 atividades adversárias (subetapas) nessa avaliação.
A qualidade de detecção é essencial para fornecer informações aos analistas de segurança para investigar e responder com rapidez e eficiência. Este gráfico compara o número de subetapas que geraram uma detecção, oferecendo riqueza de detalhes sobre os comportamentos adversários (cobertura analítica) e o número de subetapas que atingiram a amplitude total do nível “técnico” para cada fornecedor participante.
A MITRE não classifica nem pontua os participantes da ATT&CK Evaluations.
Avaliação de cenários de ataques
A avaliação abrange 80 eventos adversários (subetapas) em três cenários de ataque.
Cenário de ataque 1: DPRK (macOS)
A Coreia do Norte despontou como uma ameaça cibernética de grande alcance, e ao estender seu foco sobre o macOS, atingiu a habilidade de direcionar e infiltrar-se em sistemas adicionais de altíssimo valor. Nesse cenário de ataque, a equipe da MITRE usou o backdoor de um ataque a uma cadeia de suprimentos, seguido pela persistência, descoberta e acesso a credenciais, resultando na coleta e exfiltração de informações sobre o sistema de arquivos keychain do macOS.
- 4 etapas | 21 subetapas | somente macOS
- O Sophos XDR detectou e fornecer uma rica cobertura “analítica” de 20 das 21 (95%1) subetapas do cenário
- 19 subetapas receberam a categorização de nível “técnico” — a mais alta classificação possível
Cenário de ataque 2: Ransomware CL0P (Windows)
Ativo desde pelo menos 2019, o CL0P é uma família de ransomware afiliada ao agente de ameaças do crime cibernético TA505 (também conhecido como Snakefly) e é amplamente apontado como sendo operado por grupos russos. Neste cenário de ataque, a equipe da MITRE usou técnicas de evasão, persistência e carga na memória para realizar a descoberta e exfiltração antes de executar o ransomware.
- 4 etapas | 19 subetapas | somente Windows
- O Sophos XDR detectou e forneceu cobertura completa de nível “técnico” de 100% das subetapas
Cenário de ataque 3: Ransomware LockBit
(Windows e Linux)
Operado como um Ransomware-as-a-Service (RaaS), o LockBit é uma notória variante do ransomware que ficou malfadada por suas ferramentas sofisticadas, métodos de extorsão e ataques altamente agressivos. Neste cenário de ataque, a equipe da MITRE obteve acesso usando credenciais comprometidas para arrematar com a implantação de uma ferramenta de exfiltração e um ransomware para interromper máquinas virtuais e exfiltrar e criptografar arquivos.
- 8 etapas | 40 subetapas | Windows e Linux
- O Sophos XDR detectou e forneceu cobertura completa de nível “técnico” de 100% das subetapas
1 O Sophos XDR gerou alertas para todas as 80 atividades adversárias (subetapas) na avaliação e atingiu a classificação de “cobertura analítica” em 79 das 80 subetapas.
O alerta gerado em uma subetapa no cenário de ataque DPRK (macOS) não atingiu o nível de detecção “cobertura analítica” com base nas definições de categoria de detecção da MITRE.
Por que participamos do MITRE ATT&CK® Evaluations
O MITRE ATT&CK® Evaluations está entre os testes independentes de segurança mais respeitados do mundo. A Sophos está comprometida a participar dessas avaliações juntamente com alguns dos melhores fornecedores de segurança do setor. Como comunidade, estamos unidos contra um inimigo comum. Essas avaliações ajudam a nos tornar melhores, tanto individualmente como coletivamente, para o benefício das organizações que defendemos.
19 fornecedores de segurança EDR/XDR participaram dessa avaliação:
Outros testes do MITRE ATT&CK® Evaluations
A Sophos participa dos testes ATT&CK® Evaluations para soluções Enterprise e Serviços gerenciados, obtendo resultados expressivos consistentemente que validam a nossa posição como fornecedor de segurança cibernética líder do setor.
Líder de mercado em soluções de detecção e resposta
Conheça o Sophos XDR
Veja como a Sophos pode agilizar a detecção e resposta e levar a resultados superiores para a sua organização.