MITRE Engenuity hat die Ergebnisse der vierten Runde seiner ATT&CK-Evaluierung auf der Grundlage der APT-Gruppen Wizard-Spider und Sandworm veröffentlicht. Mit der Veröffentlichung von Qualys-Multi-Vector-EDR Ende 2020 konnte der Anbieter in vollem Umfang an der diesjährigen Bewertung teilnehmen. Die neuesten Bewertungen von MITRE zeigen deutlich, dass Qualys Angriffe über die gesamte Angriffskette hinweg erkennen, analysieren und Alarm schlagen kann. Unterm Strich: Qualys-Multi-Vector-EDR hat den von MITRE simulierten Angreifer über die gesamte Angriffskette hinweg erfolgreich erkannt.
Insgesamt erkannte die Lösung 100 Prozent der getesteten Schritte und lieferte 74 Prozent Transparenz in der gesamten Angriffskette. Damit wurde von unabhängiger Seite bestätigt, dass Qualys-Multi-Vector-EDR die Sicherheitsteams nicht mit Unmengen von Daten belastet, die durchforstet werden müssen, und gleichzeitig Angriffe präzise erkennt.
Darüber hinaus reichert die EDR-Lösung Ereignisse zusätzlich zu den MITRE-ATT&CK-Techniken mit MITRE-ATT&CK-Taktiken an – etwas, das andere EDR-Produkte nicht können.
Über die MITRE-ATT&CK-Bewertung
In den letzten vier Jahren hat das MITRE-Engenuity-Team ein Anbieter-Evaluierungsprogramm durchgeführt, bei dem Sicherheitsanbieter gegen Angriffe getestet werden, die auf realen APT-Gruppen (Advanced-Persistent-Threats) basieren. In den vergangenen Jahren basierten die Angriffe auf Gruppen wie APT3, APT29 und Carbanak+Fin7. In diesem Jahr basierten die Tests auf den Teams Wizard Spider und Sandworm, die 2016 bzw. 2019 mit der Verbreitung von Ransomware erfolgreich waren.
Sicherheitsanbieter wurden zur Teilnahme an dieser kuratierten Bewertung eingeladen. Vor dem Test wurde eine virtuelle Umgebung zur Verfügung gestellt und Qualys installierte die Suite von Cloud-Apps und konfigurierte sie entsprechend.
Der Hauptteil der Evaluierung konzentrierte sich auf die Erkennung der verschiedenen Angriffe, wobei alle Technologien zur Schadensbegrenzung ausgeschaltet waren. Viele der während des Angriffs verwendeten Tools sind bekannte Hacking-Tools wie Mimikatz, die von den meisten Endpunktlösungen erkannt und blockiert werden. MITRE ist mehr an der Effektivität der Erkennung und der Zuordnung zu MITRE-ATT&CK-Klassifizierungen interessiert als an der Blockierung von Standard-Malware.
Die Tests selbst wurden auf mehrere Tage aufgeteilt, wobei das Engenuity-Team als Angreifer (Red Team) und Qualys als Verteidiger (Blue Team) auftraten. In der Vergangenheit wurden die Tests auf zwei Tage aufgeteilt, um entweder mit verschiedenen Angreifer-Tools zu testen oder um einen anderen Gegner zu emulieren.
In diesem Jahr war der erste Tag beispielsweise Wizard-Spider gewidmet, während der zweite Tag Sandworm gewidmet war. Für jeden Testtag unterteilte das Engenuity-Team den Angriff in zehn übergeordnete Phasen, wobei jede Phase mehrere Unterphasen enthielt. Insgesamt gab es 100 bis 200 einzelne Teilschritte, in denen das Engenuity-Team speziell nach einer Art von Erkennung suchte.
Die Erkennungen selbst wurden in eine von sechs Kategorien eingeteilt:
- N/A – speziell für Anbieter wie Qualys, die während der Tests für diese Phase des Angriffs keinen Linux-Agenten eingesetzt haben.
- None – wird angewandt, wenn der Anbieter keinen Einblick in dieses spezifische Ereignis hatte, was bei Ereignissen mit hohem Volumen wie System-API-Aufrufen üblich ist.
- Telemetry – wird von MITRE als die erste Stufe der Sichtbarkeit definiert und bildet die Grundlage für jegliche Erkennung durch den Anbieter. Es handelt sich um Ereignisse, die zwar gesammelt, aber nicht angereichert oder erkannt wurden..
- General – wird von MITRE als erste Stufe der Analyse definiert, bei der der Anbieter einen Alarm erstellt, diesen aber nicht mit MITRE-ATT&CK-Mappings angereichert hat.
- Tactic – erster Teil des MITRE-ATT&CK-Frameworks.
- Technique – zweiter Teil des MITRE-ATT&CK-Frameworks.
Übergeordnetes Ziel war es, Beweise für die Angriffe zu sammeln und diese dem Engenuity-Team für die Zuordnung der Erkennung zur Verfügung zu stellen. Die Kategorien 1 bis 4 zeigen, wie Sicherheitsprodukte funktionierten, bevor ATT&CK zum Defacto-Framework für die Beschreibung des Verhaltens von Angreifern wurde. Wie bereits erwähnt, gruppiert und veröffentlicht MITRE seine Ergebnisse in zwei Hauptkategorien, entweder Visibility oder Analytics.
Abgesehen von „N/A“ und „None“ wird alles, was in den Kategorien 3 bis 6 gekennzeichnet ist, als „Sichtbarkeit“ gruppiert, was bedeutet, dass ein gewisser Einblick in den Angriff besteht. Die Kategorien 4 bis 6 werden im Bereich Analytics zusammengefasst. Die Kategorien 5 und 6 sind das, was das MITRE-Team sehen möchte. Die Anbieter sollten die Ereignisse mit den Namen der Taktiken und Techniken anreichern, die auf dem ATT&CK-Framework basieren. Im Idealfall möchten die meisten Anbieter das richtige Gleichgewicht zwischen der Erfassung ausreichender Telemetriedaten zur Erkennung von Angriffen und der Bereitstellung qualitativ hochwertiger Warnmeldungen finden, die die Benutzer nicht überfordern.
In dieser 2022 durchgeführten Evaluierung erreichte kein Anbieter eine hundertprozentige Sichtbarkeit der gesamten Angriffskette, wie von MITRE getestet. Je höher jedoch die Sichtbarkeit eines Anbieters ist, desto mehr Möglichkeiten bietet das Produkt, Ereignisse mit einer Analyse von entweder General, Tactic oder Technique abzubilden.
Man kann es sich folgendermaßen vorstellen: Ereignisse, die als „sichtbar“ gekennzeichnet sind, sind das Heu im Heuhaufen, während die analytischen Ereignisse die Nadeln sind. Mit einer geringen Anzahl von Analyseereignissen überlassen diese Produkte ihre Benutzer bei der Suche nach gegnerischen Verhaltensweisen sich selbst. Andererseits können Produkte mit einer zu hohen Anzahl von Analysen dazu führen, dass die Benutzer durch die schiere Anzahl an Alarmen überfordert werden.
Qualys-Multi-Vector-EDR-Bewertungsergebnisse
Die Ergebnisse dieser letzten Evaluierungsrunde zeigen, dass Qualys-Multi-Vector-EDR den simulierten Angreifer, wie bereits berichtet, in einem Großteil der Angriffskette erfolgreich erkannt hat. Die EDR-Lösung erkannte 100 Prozent der getesteten Schritte und lieferte 74 Prozent Einblick in die gesamte Angriffskette.
Im Gegensatz zu vielen alternativen EDR-Angeboten wurde Qualys-Multi-Vector-EDR in der Standardkonfiguration getestet, d. h. in der „Out-of-the-Box“-Konfiguration. Die einzige Ausnahme war die Anti-Malware-Engine, die in den „Audit-Only-Modus“ (statt Auto-Quarantäne) heruntergestuft wurde, damit die Bedrohungen ihre bösartigen Nutzdaten für die Zwecke der MITRE-ATT&CK-Evaluierung ausführen konnten. Das Ergebnis ist ein hervorragender Schutz ohne den Konfigurationsaufwand, den andere EDR-Angebote mit sich bringen.
Sofortige Erkennung: Wenn man sich die Ergebnisse genauer ansieht, wird deutlich, dass Qualys-Multi-Vector-EDR sofort Erkenntnisse liefert, sobald das infizierte Word-Dokument auf die Festplatte geschrieben und ausgeführt wurde.
Obwohl die Präventionsfunktionen in dieser Runde der MITRE-ATT&CK-Evaluierung nicht getestet wurden, hätte die EDR-Lösung in Kombination mit der integrierten Anti-Malware den Angriff blockiert. Im „Blocking Mode“ hätte sie die Ausführung der Ransomware ab dem Zeitpunkt verhindert, an dem die bösartige Schadensroutine auf der Festplatte abgelegt wurde.
Rauschunterdrückung: Der Angreifer versucht, über einen Ausführungsschlüssel in der Registrierung in der Umgebung zu verbleiben, was den Sicherheitsteams, die nach der Reaktion auf Ereignisse mit kontinuierlichen Infektionen zu tun haben, Kopfzerbrechen bereiten kann. Multi-Vector-EDR liefert reichhaltigen Kontext zu diesem Ereignis und macht den Benutzer über das Rauschen der Umgebung hinweg darauf aufmerksam.
Reichhaltiger Kontext: Ein weiterer tiefer Einblick ist das hohe Maß an Kontext, das dem Benutzer bei der Untersuchung von Ereignissen geboten wird. Es wurde nicht nur das Ereignis gemeldet, sondern Qualys-Multi-Vector-EDR liefert auch den Kontext, dass dieser Angriff den Fähigkeiten des Wizard Spider-Teams entspricht.
Konkurrierende EDR-Produkte reichern Ereignisse nicht mit den MITRE ATT&CK Tactics and Techniques an, wie es Qualys Multi-Vector EDR tut.
Scoring-Modell für Vorfälle_ Eine weitere Funktion, die Cyber-Verteidigern beim Schutz ihrer kritischen Systeme hilft, ist das von Qualys zum Patent angemeldete Modell zur Bewertung von Vorfällen. Dieses neu eingeführte Scoring-Modell berechnet algorithmisch die Auswirkungen, die eine bestimmte Angriffstechnik auf das Asset haben wird.
Die Leistungsfähigkeit der Qualys-Cloud-Plattform
Qualys-Multi-Vector-EDR setzt einen einzigen Agenten auf einer einzigen Plattform ein und vereint alle Qualys-Cloud-Apps wie Vulnerability-Management, Policy-Compliance, File Integrity-Monitoring und Cyber-Security-Asset-Management in einer einzigen Lösung. Dadurch erhalten Unternehmen ein enormes Situationsbewusstsein bei der Reaktion auf Ereignisse, wie sie in der MITRE-ATT&CK-Evaluation getestet wurden. Mit einem schnellen Klick auf eine Schaltfläche können Benutzer die Sicherheitslage und Systeminformationen des untersuchten Assets sehen.
Fazit
MITRE Engenuity hat in dieser vierten Runde der ATT&CK-Bewertungen 30 Sicherheitsprodukte getestet. Qualys-Multi-Vector-EDR konnte sich im direkten Vergleich mit EDR-Produkten behaupten, die bereits seit über zehn Jahren auf dem Markt sind. Die Lösung hat den von MITRE simulierten Angreifer über die gesamte Angriffskette hinweg genau erkannt. Qualys-Multi-Vector-EDR reichert Ereignisse mit MITRE-ATT&CK-Tactics sowie -Techniques an, eine Ebene der kontextuellen Analyse, die bei aktuellen EDR-Angeboten einzigartig ist. Diese Ergebnisse belegen, wie Qualys-Multi-Vector-EDR die Qualys-Cloud- Plattform nutzt, um das Rauschen zu durchdringen, die für das Sicherheitsteam wichtigsten Daten zu ermitteln und mehrere Erkennungsebenen für jeden potenziellen Angriff bereitzustellen.
Qualys bietet Multi-Vector EDR 30 Tage lang kostenlos an, um Sicherheitsteams beim Schutz, bei der Erkennung und bei der Reaktion auf fortschrittliche persistente Bedrohungen wie Sandworm und Wizard Spider zu unterstützen.
Von Jörg Vollmer, #Qualys