Todos os anos, a MITRE Engenuity conduz avaliações dos produtos de cibersegurança de maneira independente, visando auxiliar o governo e a indústria a tomar melhores decisões no combate contra ameaças de segurança e aprimorar a capacidade da indústria de localizá-las.
O que é o MITRE ATT&CK
Essas avaliações são baseadas no MITRE ATT&CK®, que é amplamente reconhecida como o framework ideal para rastrear táticas e técnicas adversárias com base em observações no mundo real.
O framework, além de ser uma fonte de conhecimento globalmente acessível, utiliza o alicerce de conhecimento da ATT&CK como base para o desenvolvimento de modelos e metodologias de ameaças específicas no setor privado, no governo e na comunidade de produtos e serviços de segurança cibernética.
Com a criação da ATT&CK, o MITRE está cumprindo sua missão de resolver problemas para um mundo mais seguro – reunindo comunidades para desenvolver uma segurança cibernética mais eficaz. A ATT&CK está aberta e disponível para qualquer pessoa ou organização para uso sem custo.
O que é o Carbanak
A Carbanak é um grupo de ameaça que visa principalmente ataques à bancos. Porém, o termo também pode fazer alusão a malwares que carregam o mesmo nome.
Em muitos lugares este grupo é chamado de FIN7, pois ambos os grupos utilizam o mesmo malware Carbanak para atacar. Porém, como atuam separadamente, são rastreados de maneira individual.
O que é o FIN7
Já o FIN7 é um grupo de ameaças com motivação financeira que tem como alvo principalmente os setores de varejo, restaurante e hospitalidade dos EUA desde meados de 2015.
Avaliação do MITRE Carbanak+FIN7 ATT&CK®
A McAfee, parceira Infomach, sabe que cibercriminosos estão sempre evoluindo seus métodos e tem o compromisso de fornecer aos Blue Teams (ciberdefensores), os recursos necessários para vencer o jogo.
Para tanto, a equipe tem acreditado na importância de colocar as soluções de segurança à prova em testes rigorosos. Para demonstrar seu comprometimento, a McAfee participou em todas as avaliações da MITRE Engenuity Enterprise até hoje, incluindo as anteriores: round 1 (emulação APT3) e round 2 (emulação APT29).
Agora, a MITRE Engenuity entregou os resultados das avaliações Carbanak e FIN7 (round 3) que foram conduzidas nos últimos meses.
A McAfee participou desta avaliação, junto com outros 28 fabricantes, que foram desde empresas com menor relevância como a BitDefender e Cynet até outras gigantes como Microsoft, Fortinet e Cisco. O evento testou as capacidades de suas soluções de cibersegurança, no que tem sido a mais compreensiva avaliação ATT&CK da atualidade, cobrindo 20 etapas essenciais e 174 sub-etapas.
Pela primeira vez, a MITRE Engenuity ofereceu uma extensão opcional para avaliações de detecção que examinam a habilidade de um vendedor em proteger a empresa contra técnicas adversárias especificas utilizadas por estes grupos.
Esta também foi a primeira vez que as avaliações foram além dos sistemas da Windows e adereçaram tecnicamente direcionadas para aparelhos Linux que são utilizados frequentemente em redes como servidores Web ou aplicação
Apesar de ser importante ressaltar que o objetivo destas avaliações ATT&CK não é classificar ou pontuar produtos, a análise dos resultados identificou que o Blue Team da empresa foi capaz de usar o MVISION EDR, complementado pelo portfólio McAfee, para obter uma vantagem significativa sobre o adversário, alcançando:
- 100% de visibilidade através das 10 etapas de ataque principais no Dia 1 (Carbanak), e 100% de visibilidade nas 10 etapas de ataque principais no Dia 2 (FIN7).
- 100% de detecções analíticas (qualquer detecção sem telemetria) nas 10 etapas de ataque principais no Dia 1 (Carbanak), e 100% de detecções analíticas nas 10 etapas de ataque principais no Dia 2 (FIN7).
- 87% de visibilidade através do total de 174 sub-etapas para os dois cenários de ataque.
- 72% das detecções aproveitando duas ou mais fontes de dados para contexto e enriquecimento adicionais.
- 100% de bloqueio das 10 etapas de ataque principais emuladas no teste de proteção (Carbanak + FIN7) e bloqueio antes do ciclo de ataque.
Emulação Adversária
Enquanto inicialmente os grupos emulados estavam mais focados em espionagem, o time de avaliações da ATT&CK escolheu emular Carbanak e FIN7 devido ao amplo espectro de indústria que esses grupos visam para ganhos financeiros. Ambos os grupos carregam uma firme reputação em usar metodologias inovadoras.
Espionagem eficiente e furtividade são a linha de frente de sua estratégia, já que muitas vezes dependem fortemente de scripts, ofuscação, “esconder-se debaixo do nariz” e explorar totalmente os usuários atrás da máquina enquanto saqueiam um ambiente. Eles também tiram vantagem de um espectro exclusivo de utilitários operacionais, abrangendo malware sofisticado e ferramentas de administração legítimas, capazes de interagir com várias plataformas.
A avaliação ATT&CK foi conduzida em um total de 4 dias, incluindo os testes de proteção. Em cada dia, uma versão diferente do ataque composta de 10 etapas foi executada:
No Dia 1, a MITRE Engenuity emulou um ataque realizado pelo grupo Carbanak a uma instituição financeira, começando com uma brecha na estação de trabalho do Gerente de RH, incluindo elevação de privilégios, roubo de credencial, movimento lateral para o sistema do CFO, coleta de dados confidenciais em sistemas Windows e Linux, e falsificação de transferências de dinheiro. HH
No Dia 2, a MITRE Engenuity emulou um ataque pelo grupo FIN7 contra um hotel, a partir de uma brecha no sistema de gerenciamento do hotel, envolvendo persistência, roubo de credencial, descoberta, movimento lateral para o sistema de contabilidade e a escassez de dados de pagamento do cliente.
O Blue Team da McAfee defendeu com sucesso esses dois avanços adversários, demonstrando o poder do portfólio McAfee, incluindo MVISION EDR, complementado pelo MVISION Endpoint Security (ENS), Advanced Threat Detection (ATD), Network Security Platform (NSP), Data Loss Prevention (DLP) e Enterprise Security Manager (ESM). Esses produtos foram configurados de acordo com os padrões da MITRE Engenuity:
- Para a avaliação de detecção, todos os scanners e regras ENS foram configurados para somente relatório.
- Para a avaliação de proteção, as regras ENS de Attack Behavior Blocking (ABB)/ Attack Surface Reduction (ASR) foram definidas para bloquear enquanto a regra “Criar ou modificar arquivos e pastas remotamente” estiver desativada, a pedido da MITRE.
Durante estes 4 dias de colaborações roxa extensiva, a McAfee demonstrou que seu portfólio é capaz de prover cibersegurança sólida diante dos 5 principais recursos mais importantes para qualquer time de operações de segurança: segurança com base em tempo (Time-Based Security), Acionabilidade de alerta (Alert-Actionability), detecção em profundidade (Detection In-Depth), proteção e visibilidade.
Segurança com base em tempo (Time-Based Security)
Time-Based Security (TBS) é uma das mais relevantes, eficazes e simples modelos de segurança que um defensor pode aplicar. Esta função provê um mecanismo para determinar se o membro de um Blue Team teria a informação necessária, pontual e acionável para defender efetivamente contra ataques adversários.
Utilizando os resultados da avaliação ATT&CK, nós modelamos os dados de acordo com a timeline do ataque, agrupando as técnicas executadas pelo ATT&CK Red Team pelos dias 1 (Carbanak) e 2 (FIN7) em cada uma das etapas (marcos de ataque) que eles empregaram. Para representar os dados de cada dia de avaliação, nós listamos as categorias de detecção usada pela MITRE Engenuity.
Conforme mostrado nas figuras 1 e 2, durante a avaliação, a McAfee alcançou o nível máximo de visibilidade, detecção e contexto durante cada etapa principal do ataque.
Um analista que usa os produtos McAfee teria recebido um alerta de ameaça enriquecido e correlacionado para cada um dos passos desses ataques avançados, incluindo referências ao framework ATT&CK da Mitre Engenuity e pontos de articulação para telemetria completa, permitindo detecção, investigação e reações mais rápidas e, portanto, resultado em exposição reduzida.
Acionabilidade de Alerta (Alert-Actionability)
Para ser um defensor bem sucedido, é essencial reagir da maneira mais rápida possível, acionando um alarme o mais cedo possível na corrente de ataque, ao mesmo tempo que correlata, agrega e sumariza todas as atividades subsequentes para preserva a acionabilidade.
O MVISION EDR da McAfee preservou a acionabilidade e reduziu a fadiga dos alertas durante a avaliação, fornecendo contexto e enriquecimento, o que resultado num raio de 62%¹ para detecções analíticas (toda detecção sem telemetria) de um total de 274 detecções. Isso foi possível devido a forte correlação da McAfee, além de ter toda a telemetria marcada e rotulada o mais próximo possível da fonte.
Detecção em profundidade (Detection In-Depth)
Técnicas efetivas de detecção de ataques requer alguns pontos de vantagem. Perspectiva adicional melhore o contexto, correlação e, subsequentemente, fidelidade. Ter várias fontes de informação para cada técnica permite cobrir quantidade e qualidade.
A McAfee demonstrou cobertura sobre uma dúzia de diferentes fontes de dados durante a avaliação, com 72% das detecções utilizando duas ou mais fontes.
Proteção
Pela primeira vez em uma avaliação ATT&CK, a MITRE Engenuity exerceu proteção em 10 cenários; um subconjunto das sequências de ataque usadas durante a avaliação de detecção.
A McAfee demonstrou sua eficácia de proteção superior interrompendo com êxito todos os 10 ataques, no início da cadeia, antes que ocorresse qualquer impacto. Antes da interrupção, detecções de alto contexto e telemetria foram produzidas para alertar o analista.
Visibilidade
Muitas organizações vivem em um mundo orientado por alertas, onde não há dados suficientes para dar suporte às principais atividades de operações de segurança, incluindo investigações ou caça a ameaças.
Durante a avaliação Carbanak + FIN7, a McAfee forneceu visibilidade em todas as etapas principais do ataque e 87% de visibilidade da contagem total de sub-etapas em ambos os dias.
Vale ressaltar que os 13% restantes não representam necessariamente pontos cegos, mas sim que os critérios mínimos selecionados pela MITRE Engenuity não foram atendidos, de acordo com as regras de avaliação.
Por exemplo, a maioria da visibilidade foi obtida por meio da detonação automatizada de amostras em nosso sandbox ATD, que fornece contexto de dados adicionais para analistas de segurança durante um ataque real.
Conclusões
Nossos parceiros McAfee sabem como funcionam as operações de segurança e é por isso que projetaram sua nossa plataforma de detecção e resposta com o ‘Human Machine Teaming’ em mente. Para esta última rodada da Avaliação MITRE Engenuity ATT&CK, a equipe de Engenharia de Detecção de Ameaças e Contramedidas Aplicadas (AC3) da McAfee proporcionou 85% mais visibilidade e mais de 22% mais detecções analíticas do que na avaliação APT29 anterior.
Durante essa avaliação, demonstraram que a McAfee oferece a defesa mais bem balanceada entre os cinco principais recursos que mais importam para qualquer equipe de operações de segurança: segurança baseada em tempo, ação de alerta, detecção em profundidade, proteção e visibilidade.
A plataforma de detecção e resposta da McAfee ofereceu um contexto significativo e aprimorado em toda a cadeia de ataques, permitindo que os ciberdefensores interrompessem os ataques antecipadamente, antes que ocorressem danos.
Fique atento aos próximos detalhes sobre como cada um desses recursos de segurança desempenhou um papel fundamental na avaliação Carbanak + FIN7 como parte da série do blog de Avaliação da ATT&CK.
MITRE ATT&CK e ATT&CK são marcas registradas da MITRE Corporation. Este texto foi originalmente adaptado do artigo de Craig Schmugar and Ismael Valenzuela no blog McAfee.
Histórico McAfee
Indicada como líder no Quadrante Mágico da Gartner de 2021 para plataformas de proteção de endpoint (EPP), a McAfee foi reconhecida como uma das mais poderosas equipes do mercado internacional.
Aqui na Infomach, estamos sempre em aprimoramento constante para estar sempre próximos de nossos parceiros. Para entender como a McAfee se tornou um dos melhores endpoints para a sua empresa, confira o artigo em nosso blog: McAfee é um Gigante Global quando o assunto é Segurança da Informação.
Leia Também:
- McAfee apresenta MVISION XDR, a primeira plataforma XDR proativa, que expande drasticamente os recursos das soluções tradicionais de EDR com uma plataforma integrada baseada em SaaS
- McAfee transforma as operações de segurança com o lançamento do primeiro XDR proativo da indústria para endpoint, nuvem e rede