A MITRE ATT&CK® APT-29 kiértékelése alapján a FireEye Endpoint Security és a Mandiant Managed Defense a legmagasabb és a legtöbb technikai detektálást teljesítette. A sokrétű és részletes technikai adatok mellett a rendszer felhívta a figyelmet a különböző hiányos vagy rossz beállításokra is. A FireEye másodszor vett részt a MITRE ATT&CK® EDR keretrendszerekre vonatkozó összevetésén, amiben az APT-29-es – vélhetően orosz hátterű – hackercsoport által használt támadások kerültek górcső alá.
A MITRE egy független, nonprofit szervezet, amely eszköz és tudástárral (módszertanok, fenyegetettségi modellek, stb.) folyamatosan segíti a szervezetek védekezését a kifinomult és célzott 0-day támadások elleni védekezésben. A FireEye a MITRE által szervezett értékeléseinek részvevőjeként, blogbejegyzéseivel és jelentéseivel hozzájárul az APT29-ről publikált különböző tudásbázisokhoz: NotSoCozy, TweetBlog és HAMMERTOSS.
A MITRE 57 különböző ATT&CK technikát határozott meg 134 különböző vizsgálati eljárással. Az összesített értékbe beletartozik, hogy hány észlelést hajtott végre az adott gyártó mind az öt fő MITRE kategóriában (általános, technika, taktikai, hozzáadott értékű humán intelligencia /MSSP/ és telemetria).
A FireEye végpontvédelmi rendszere a legmagasabb detektációs rátát érte el az összes gyártóval szemben.
Ez a kimagasló eredmény igazolja a FireEye egyedi innovációs megközelítését a 0-day és egyéb összetett informatikai rendszerek fenyegetései ellen. A siker kulcsa a Mandiant szakembereinek mindennapos munkája, akik a legsokoldalúbb gyártófüggetlen szakemberekből álltak össze. Munkájuk során folyamatos rálátásuk van a fenyegetettségekre, a különböző hackercsoportok céljaira stb. Ezek a tapasztalatok (több mint 200 000 órányi nyomozás, felderítés és remediációs javaslatok) összevetve a hírszerzői információkkal, közvetve beépülnek a FireEye különböző védelmi rendszereibe, így az Endpoint Security-ba is.
FireEye Endpoint Security érte el a legtöbb egyedi és összesített technikai detektációt az összes gyártóval szemben.
Ez a MITRE kategória (Technique Detections) az egyik legfontosabb észlelési kategória, mivel közvetlenül az ATT&CK keretrendszeréhez kapcsolódik. Ezek a felismerések közvetlen információkat szolgáltatnak egy elemzőnek arról, hogy miként hajtottak végre egy műveletet, és segítenek nekik – hozzáadott értékű hírszerzési adatokkal – megérteni, hogy pontosan milyen taktikát, technikákat és eljárásokat használt az APT29-es hackercsoport.
FireEye Endpoint Security képes a legkifinomultabb támadások észlelésére, releváns kontextussal, hatásos telemetriával és a legkritikusabb riasztásokkal. A terméket a világ legjobb, ún. „frontline-intelligence” terület szakemberei fejlesztik, ezzel biztosítva a leghitelesebb, legprecízebb és legmagasabb detektációt produkáló végpontvédelmi rendszert.
FireEye végpontvédelmi rendszere biztosította a legtöbb információt az összesített detektációs és telemetria kategóriában.
A telemetriai információk manapság nélkülözhetetlenek egy modern biztonsági felügyeleti központban (SOC). A riasztás és a korreláció a telemetriai adatokkal elengedhetetlen egy fenyegetésre reagáló elemző számára. A riasztási képesség mellett a végpont részletes telemetriai adataival biztosítja a biztonsági szakember számára, hogy a legrelevánsabb kontextust és kiegészítő információk felhasználásával felgyorsíthassák és precízebbé tegyék az incidens kivizsgálatának folyamatát.
Forrás: fireeye.com