Einsichten aus der MITRE-Evaluierung von Sicherheitsprodukten

von Trend Micro

Die MITRE ATT&CK-Wissensdatenbank dient der Cybersecurity-Branche für den Wissensaustausch und für die Information zu modernen Angriffen. Hierbei werden Methoden und Vorgehensweise von Angreifern analysiert und in einer gemeinsamen „Sprache“ zusammengefasst, um so Bedrohungsinformationen herstellerübergreifend austauschen zu können. Security-Analysten in Unternehmen dient die Datenbank wiederum als Nachschlagewerk, um Indikatoren eines Angriffes (IoA) recherchieren zu können und diese mit bekannten Angriffsmustern zu vergleichen. Als Non-Profit Organisation verfolgt das MITRE Framework dabei keine kommerziellen Ziele sondern versucht, für die Seite der Verteidiger und für diejenigen, die sich daran beteiligen, Mehrwerte zu bieten.

So liefert die Plattform eine Evaluierung der Sicherheitsprodukte für die Entwickler von Cybersicherheitslösungen. Die dafür verwendete Methodologie dient Herstellern dazu, ihre Produkte weiterzuentwickeln sowie Ihre Strategien anzupassen. Die Auswertungen stellen nach eigenen Aussagen keine Wettbewerbsanalyse dar und werden öffentlich gemacht. Sie bieten damit eine neue Perspektive im Vergleich zu Drittanbietertests. Die Einsichten aus diesen Evaluierungen sind aus Herstellersicht sehr nützlich, doch ehrlich gesagt, sind sie für jeden, der nicht in die Analyse involviert ist, auch schwer zu verstehen. Es gibt viele Arten, die Daten zu betrachten und noch mehr Wege, sie zu interpretieren und die Ergebnisse zu präsentieren.

Die Sicherheitsforscher von Trend Micro haben sich etwa die Daten der vergangenen Woche seit ihrer Veröffentlichung angeschaut — und müssen in den kommenden Tagen und Wochen noch weiter untersuchen. Je mehr die Informationen ausgewertet werden, desto klarer wird das Bild. Die wichtigsten Erkenntnisse daraus:

1.Wichtige Erkenntnisse beim Durchgehen der Ergebnisse des ersten Durchlaufs der Evaluierung:

  • Die Sicherheit einer Security-Lösung ist immer relativ zu seiner Konfiguration zu sehen. So sind Funktionen bei einer Grundinstallation aus unterschiedlichen Gründen zu- oder ausgeschaltet. Herstellerseitig erfolgt ein Tuning meist nach so genannten „Best Practices“-Regeln. Die MITRE Evaluierung erlaubt dabei das Austesten dieser Einstellungen. Hersteller erhalten deshalb die Möglichkeit Ihre Systeme in verschiedenen Durchläufen zu „tunen“, um sie im Verhältnis zum Markt zu bewerten. Trend Micro schnitt dabei in allen Tests mit sehr guten Ergebnissen ab.

Bild 1. Erkennungsrate bei der ersten Simulation ohne Änderungen durch die Anbieter (Quelle: MITRE)

Bild 2. Erkennungsrate bei der dritten Simulation nach Änderungen durch die Anbieter (Quelle: MITRE)

  • Unterschiedliche Methoden zur Erkennung von Angriffen und ihre Gewichtung
  • Um einen Angriff als Bedrohung zu erkennen, gibt es verschiedene Methoden. Diese sind keiner speziellen Gewichtung unterworfen. Allerdings bedeutet eine genauere Erkennung letztlich auch konkretere Gegenmaßnahmen. Es gibt deshalb eine Art Hierarchie.
    • Eine allgemeine Erkennung zeigt an, dass etwas als verdächtig erachtet wurde, aber nicht einer bestimmten Taktik oder Technik zugeordnet wurde.
    • Eine taktische Erkennung bedeutet, dass die Erkennung einem taktischen Ziel (z.B. Credential-Zugang) zugeordnet werden kann.
    • Schließlich bedeutet ein Erkennen auf Basis von Technik, dass dies einer bestimmten feindseligen Aktion (z.B. Dumping von Credentials) zugeordnet werden kann.
  • Trend Micro ist stark bei der Erkennung auf Basis von Techniken, und damit der genauen Zuordnung von Angriffen. Der Vorteil dabei ist, dass durch Identifizierung einer einzelnen MITRE-Technik die zugehörige Taktik bestimmt werden kann, da es typischerweise nur eine Handvoll Taktiken gibt, die auf eine bestimmte Technik zutreffen würden. Der Vergleich der Ergebnisse zeigt, dass die Anbieter insgesamt weniger Taktiken erkannt haben, was unsere Entwickler in ihrer Meinung bestätigt.
  • Wichtig ist auch, dass Trend Micro weniger allgemeine Erkennungen im Vergleich zu Erkennungen über Techniken aufwies. Allgemeine Erkennungen sind typischerweise mit einer Signatur verbunden. Unter Techniken sind dagegen fortschrittliche Methoden zum Aufspüren von Angriffen zu verstehen.
  • Trend Micro schnitt auch bei der Telemetrie gut ab. Darüber erhalten Sicherheitsanalysten Zugang zur Art und Tiefe der Einsicht, die sie benötigen, wenn sie detaillierte Angreiferaktivitäten über verschiedene Einrichtungen hinweg untersuchen wollen.

https://attackevals.mitre.org/APT29/detection-categories.html 

  1. Mehr Alerts bedeutet nicht besseres Alerting – eher im Gegenteil
  • Auf den ersten Blick meint man, es sollte dieselbe Anzahl Erkennungen und Alerts geben. Doch nicht jede Entdeckung sollte auch einen Alert auslösen.
  • Zu viele Alerts können zu einem Alarmüberdruss führen, und damit wird es schwieriger, im allgemeinen Rauschen das zu finden, was wichtig ist.

Bewertet man die Alerts in Verbindung mit Trend Micros zuverlässigeren Erkennungen (auf Basis von Techniken), so zeigt dies, dass der Anbieter gut darin ist, das Rauschen der Erkennungen auf ein Minimum an wirklich sinnvollen/praktikablen Alerts zu reduzieren.

  1. Managed Service-Erkennungen sind nicht exklusiv
  • Die MDR-Analysten wurden in der Kategorie „Delayed Detection“ bewertet. Hier erfordert die Erkennung menschliches Eingreifen und wird nicht automatisch initiiert.
  • Die Ergebnisse zeigen die Stärken des MDR Service von Trend Micro als eine Möglichkeit der Erkennung.
  • Doch die Zahlen für die „verzögerte Erkennung“ bedeuten nicht unbedingt, dass dies die einzige Möglichkeit für eine Erkennung war; dieselbe Entdeckung hätte auch mit anderen Mitteln geschehen können. Es gibt Überschneidungen zwischen den Erkennungskategorien.
  • Trend Micro wies etwa 86% Erkennungen ohne menschliches Eingreifen auf und 91% mit.

  1. Die Wirksamkeit und die Notwendigkeit des Blockierens nicht vergessen!
  • Die MITRE-Bewertung testete nicht die Fähigkeiten eines Produkts zu blockieren bzw. vor einem Angriff zu schützen. Es ging ausschließlich um die Effizienz beim Erkennen eines Vorfalls.
  • Dies spielt für Trend Micro eine große Rolle, da zum Ansatz des Anbieters das Blockieren und Verhindern genauso dazu gehören.
  1. Die Suche muss auch über Windows hinausgehen
  • Diese Evaluierung betrachtete nur Windows-Endpunkte und Server; Linux zum Beispiel wurde nicht berücksichtigt. Doch hat MITRE angekündigt, in der nächsten Runde auch Linux-Systeme mit einzubeziehen. Trend Micro tut dies bereits heute.
  1. MITRE ist mehr als die Auswertung
  • Zwar ist die Evaluierung wichtig, doch ist MITRE ATT&CK darüber hinaus eine wichtige Wissensdatenbank, an der sich die Sicherheitsindustrie orientieren und zu der sie einen Beitrag leisten kann.
  • Eine gemeinsame Sprache und ein gemeinsamer Rahmen, um besser erklären zu können, wie sich Gegner verhalten, was sie zu tun versuchen und wie sie es tun, macht die gesamte Branche mächtiger.
  • Zu den vielen Dingen, die Trend Micro mit oder um MITRE herum tun, gehört auch der Beitrag von neuen Techniken zum Framework. Der Anbieter nutzt es innerhalb der eigenen Produkte, indem ATT&CK als gemeinsame Sprache für Warnungen und Beschreibung von Erkennung sowie für Suchparameter dient.

 

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

*

Diese Website verwendet Akismet, um Spam zu reduzieren. Erfahre mehr darüber, wie deine Kommentardaten verarbeitet werden.