Evaluasi MITRE ATT&CK® adalah salah satu uji keamanan independen yang paling dihormati di dunia. Evaluasi ini meniru taktik, teknik, dan prosedur (TTPs) yang digunakan oleh kelompok musuh dunia nyata dan mengevaluasi kemampuan masing-masing vendor peserta untuk mendeteksi, menganalisis, dan menggambarkan ancaman, dengan hasil yang diselaraskan dengan bahasa dan struktur dari Kerangka MITRE ATT&CK®.
Tidak ada satu cara tunggal untuk menginterpretasikan hasil dari Evaluasi ATT&CK, dan evaluasi ini tidak dimaksudkan untuk menjadi analisis kompetitif. Hasilnya menunjukkan apa yang diamati selama evaluasi dan tidak menghasilkan “pemenang” atau “pemimpin” – meskipun beberapa vendor mungkin ingin Anda berpikir sebaliknya!
Ada nuansa dalam cara kerja setiap alat vendor dan bagaimana alat tersebut menyajikan informasi kepada analis yang menggunakannya, dan kebutuhan serta preferensi individu Anda memainkan peran penting dalam menentukan solusi mana yang terbaik untuk Anda dan tim Anda. Pelajari tentang Sophos Extended Detection and Response (XDR).
Ringkasan Evaluasi
Ini adalah putaran keenam Evaluasi ATT&CK untuk Enterprise — evaluasi yang berfokus pada produk MITRE — yang dirancang untuk membantu organisasi lebih memahami bagaimana penawaran deteksi dan respons endpoint (EDR) seperti Sophos XDR dapat membantu mereka melawan serangan yang canggih dan multistage.
- Putaran ini berfokus pada perilaku yang terinspirasi oleh tiga kelompok ancaman yang dikenal:
- Republik Demokratik Rakyat Korea (DPRK)
Evaluasi ini meniru perilaku musuh DPRK yang menargetkan macOS melalui operasi multistage, termasuk peningkatan hak istimewa dan pencurian kredensial.
- Ransomware CL0P dan LockBit
Evaluasi ini meniru perilaku yang umum dalam kampanye menggunakan ransomware CL0P dan LockBit yang menargetkan platform Windows dan Linux, termasuk penyalahgunaan alat sah dan menonaktifkan layanan penting.
Peserta Evaluasi
Sebanyak sembilan belas vendor solusi EDR/XDR berpartisipasi dalam putaran evaluasi ini (dalam urutan abjad).
Memahami Hasil
Setiap aktivitas musuh (disebut sebagai ‘sub-step’) yang ditiru selama evaluasi menerima salah satu dari rating berikut, yang menunjukkan kemampuan solusi untuk mendeteksi, menganalisis, dan menggambarkan aktivitas musuh, dengan hasil yang diselaraskan dengan bahasa dan struktur Kerangka MITRE ATT&CK®:
- Tidak berlaku — “miss”: Aktivitas musuh tidak terdeteksi atau evaluasi untuk sub-step ini tidak diselesaikan.
- Tidak ada: Eksekusi sub-step berhasil; namun, bukti yang diberikan tidak memenuhi Kriteria Deteksi yang terdokumentasi, atau tidak ada bukti aktivitas Red Team yang disediakan.
- Umum: Solusi secara mandiri mengidentifikasi bahwa peristiwa berbahaya/terduga terjadi dan melaporkan Apa, Di mana, Kapan, dan Siapa.
- Taktik: Selain memenuhi kriteria untuk rating ‘Umum’, solusi juga memberikan informasi tentang potensi niat penyerang; Mengapa, yang diselaraskan dengan Taktik MITRE ATT&CK.
Teknik — rating tertinggi yang mungkin: Selain memenuhi kriteria untuk rating ‘Taktik’, solusi juga memberikan detail tentang metode penyerang untuk mencapai tujuan; Bagaimana tindakan tersebut dilakukan.
Deteksi yang diklasifikasikan sebagai Umum, Taktik, atau Teknik dikelompokkan di bawah definisi Analytic Coverage, yang mengukur kemampuan solusi untuk mengubah telemetri menjadi deteksi ancaman yang dapat ditindaklanjuti.
Bagaimana Kinerja Sophos dalam Evaluasi Ini?
Selama evaluasi, MITRE melaksanakan tiga skenario serangan terpisah (DPRK, CL0P, dan LockBit), yang terdiri dari total 16 langkah dan 80 sub-step.
Sophos XDR memberikan hasil yang mengesankan, meraih:
- Rating tertinggi (‘Teknik’) untuk 100% aktivitas musuh dalam skenario serangan ransomware di Windows dan Linux.
- Rating tertinggi (‘Teknik’) untuk 78 dari 80 aktivitas musuh total di semua tiga skenario komprehensif.
- Rating Analytic coverage untuk 79 dari 80 aktivitas musuh total.
Skenario Serangan 1: DPRK (macOS saja)
Korea Utara telah muncul sebagai ancaman dunia maya yang tangguh, dan dengan memperluas fokusnya ke macOS, mereka telah memperoleh kemampuan untuk menargetkan dan menyusup ke sistem bernilai tinggi tambahan. Dalam skenario serangan ini, tim MITRE menggunakan backdoor dari serangan rantai pasokan, diikuti dengan pemeliharaan, penemuan, dan akses kredensial, yang mengarah pada pengumpulan dan pengiriman informasi sistem serta file keychain macOS.
Skenario ini terdiri dari 4 langkah dengan 21 sub-step hanya di macOS.
- Sophos XDR mendeteksi dan memberikan coverage ‘analitik’ yang kaya untuk 20 dari 21 sub-step (95%) dalam skenario ini.
- 19 sub-step diberikan kategori tingkat ‘Teknik’ — rating tertinggi yang mungkin.
Apakah Anda sudah mempertimbangkan Sophos sebagai solusi perlindungan titik akhir dengan peringkat terbaik dan ulasan terbanyak?
Jika Anda berminat, kami mengundang Anda untuk menghubungi Sophos Indonesia untuk mendapatkan informasi lebih lanjut tentang solusi keamanan unggulan ini. Jangan ragu untuk menghubungi PT. iLogo Infralogy Indonesia jika Anda ingin penjelasan lebih mendalam.
