CrowdStrike logra el 100% de prevención en la evaluación de MITRE Engenuity ATT&CK

Por. Michael Sentonas

“Nos pidieron que deshabilitáramos las capacidades de protección de identidad para permitir que continuaran las pruebas, y aun así logramos una prevención del 100 %”.

  • La plataforma CrowdStrike Falcon ® ofrece una prevención del 100 % en los nueve pasos de MITRE Engenuity ATT&CK ® Enterprise Evaluation

  • La plataforma Falcon ofrece visibilidad integral y alertas procesables, calificando la visibilidad en el 96 % de los subpasos en las evaluaciones de ATT&CK mientras presenta evidencia para el 99 % de los subpasos

  • CrowdStrike fue el único proveedor que demostró capacidades nativas y unificadas de Zero Trust y protección de identidad en su plataforma.

En CrowdStrike, creemos que las pruebas rigurosas e independientes son una parte vital del ecosistema de seguridad. Brinda a los clientes transparencia e información sobre las capacidades críticas necesarias para detener las amenazas sofisticadas de la actualidad.


Es por eso que me complace compartir los resultados de la ronda 4 de la evaluación

empresarial MITRE Engenuity ATT&CK: la plataforma CrowdStrike Falcon detiene las infracciones con 100 % de prevención, visibilidad integral y alertas procesables.


Esto demuestra claramente el poder de la plataforma Falcon y nuestro enfoque unificado para brindar las protecciones más sólidas para detener las amenazas más sofisticadas de la actualidad. Los resultados de la evaluación de MITRE Engenuity ATT&CK son claros: la plataforma Falcon continúa estableciendo el estándar de la industria al detener el ransomware y el malware destructivo, detener a los adversarios y detener las infracciones.


En este blog y a lo largo de la próxima semana, profundizaremos en los detalles de nuestra participación en MITRE Engenuity ATT&CK Evaluation y las complejidades del enfoque de MITRE para las pruebas, y brindaremos contexto adicional que lo ayudará a comprender exactamente los resultados de MITRE y lo que significa para su negocio.


Una cosa interesante a tener en cuenta es que las pruebas de MITRE este año revelaron la importancia de comprender cómo los adversarios explotan cada vez más la identidad y las credenciales para tratar de evadir la detección. CrowdStrike es el único proveedor que tiene capacidades Zero Trust y de protección de identidad integradas en la plataforma Falcon, una capacidad que fue parte de la evaluación MITRE Engenuity ATT&CK. El enfoque de CrowdStrike para Zero Trust detecta y previene automáticamente los ataques basados ​​en la identidad, evitando que los adversarios se afiancen utilizando credenciales robadas.


Cuando comenzaron las pruebas, la plataforma Falcon identificó que la evaluación MITRE Engenuity ATT&CK estaba usando una contraseña violada y una cuenta comprometida. Esto evitó que el evaluador de la prueba obtuviera acceso al entorno para intentar comprometerlo, lo que detuvo la infracción antes de que comenzara. Debido a la metodología, finalmente tuvimos que deshabilitar nuestras capacidades de protección de identidad para permitir que continuaran las pruebas, y aun así logramos una prevención del 100 % en los nueve pasos.


Este es un testimonio del poder de la plataforma Falcon y nuestro enfoque unificado para evitar que los adversarios avancen en los ataques. Estamos entusiasmados de trabajar con MITRE Engenuity para avanzar en la metodología de prueba para respaldar las defensas basadas en identidad y Zero Trust en el futuro. También compartiremos más anécdotas detrás de escena la próxima semana, incluido un análisis profundo de por qué la seguridad de la identidad debe estar profundamente integrada en las estrategias de seguridad para detener los ataques de hoy.


CrowdStrike ofrece un enfoque de plataforma unificada para detener las infracciones


Lograr una prevención 100 % automatizada en todos los pasos de la evaluación MITRE Engenuity ATT&CK habla directamente de nuestra misión: Detenemos las infracciones. Además de nuestras capacidades de prevención líderes, los analistas pueden aprovechar la plataforma Falcon para observar y comprender todos los eventos de incidentes desde múltiples puntos de vista para obtener contexto sobre el comportamiento y las tácticas de las amenazas sofisticadas. Esto permite a los clientes investigar rápidamente las amenazas, mejorar su postura de seguridad y reducir el tiempo de fuga del adversario. En la evaluación MITRE Engenuity ATT&CK de este año, la plataforma Falcon demostró excelencia en prevención, visibilidad y contexto en todos los pasos de evaluación para ambos actores de amenazas.


Las emulaciones adversarias WIZARD SPIDER y VOODOO BEAR ( Sandworm Team ) fueron seleccionadas por su sofisticación y su amplia gama de técnicas comerciales posteriores a la explotación, lo que las hizo ideales para evaluar la visibilidad y la cobertura de los productos de seguridad.


Figura 1. Grupos adversarios WIZARD SPIDER (izquierda) y VOODOO BEAR (derecha)

Los escenarios constaban de 19 pasos, 109 subpasos y nueve escenarios de protección en los sistemas operativos Windows y Linux. Profundicemos más en nuestros resultados.


CrowdStrike Falcon Platform ofrece 100% de prevención


Los atacantes intentan cada vez más lograr sus objetivos sin escribir malware en el punto final mediante el uso de credenciales legítimas y robadas para tratar de evadir la detección de los productos antivirus heredados. Según el Informe de amenazas globales de CrowdStrike 2022 , el 62 % de los ataques están libres de malware y consisten en actividades manuales en el teclado. Una vez dentro, solo le toma 98 minutos a un adversario moverse lateralmente desde un host inicialmente comprometido a otro host dentro del entorno de la víctima. Las organizaciones deben poder detener a los atacantes inmediatamente, antes de que puedan moverse por la red y causar daños.


CrowdStrike detiene los ataques antes de que puedan comenzar al brindar capacidades poderosas como seguridad basada en identidad, indicadores integrales de ataque (IOA), aprendizaje automático (ML), orquestación automatizada e inteligencia de amenazas a través de una plataforma unificada nativa de la nube.

El rendimiento de la plataforma Falcon en la ronda 4 de la evaluación MITRE Engenuity ATT&CK muestra que estas nuevas capacidades detienen a los atacantes rápidamente, con un 100 % de prevención en todas las pruebas de protección, y detienen más del 93 % de las tácticas, técnicas y procedimientos (TTP) de los atacantes antes pueden ejecutar.

Figura 2. Rendimiento de Falcon en cada una de las nueve pruebas de protección en la evaluación MITRE Engenuity ATT&CK (Haga clic para ampliar)

CrowdStrike Falcon Platform ofrece visibilidad completa, contexto y alertas procesables


La visibilidad es un requisito fundamental para una seguridad eficaz, ya que los equipos de seguridad requieren contexto, visibilidad histórica y capacidades de respuesta. La plataforma Falcon proporciona capacidades y herramientas integrales para que los analistas vean, detengan y comprendan el ataque, obteniendo visibilidad en el 96 % de los subpasos en las evaluaciones de ATT&CK mientras presenta evidencia para el 99 % de los subpasos. Los resultados enriquecidos y los indicadores de ataque brindan a los analistas las herramientas adecuadas para investigar y comprender los detalles técnicos, los árboles de procesos y los TTP.



Figura 3. Cobertura de CrowdStrike en los pasos de ataque para el escenario MITRE Engenuity ATT&CK Evaluation WIZARD SPIDER

Figura 4. Cobertura de CrowdStrike en los pasos del ataque para el escenario de ataque MITRE Engenuity ATT&CK Evaluation VOODOO BEAR (Sandworm Team)

La visibilidad sin contexto es uno de los mayores desafíos para las organizaciones, razón por la cual Falcon CrowdScore™ e Incident Workbench resaltan visualmente los ataques detectados con contextos enriquecidos para agilizar el proceso de clasificación y ayudar a los analistas a concentrarse primero en las amenazas más críticas. En la evaluación MITRE Engenuity ATT&CK, las actividades probadas se presentan en solo seis incidentes de CrowdScore (consulte la figura 5).

Figura 5. Seis incidentes de CrowdScore presentados en todas las actividades probadas (Haga clic para ampliar)

La plataforma Falcon captura todos los datos de eventos en tiempo real recopilados por el sensor Falcon de todos los dispositivos administrados, lo que permite a los equipos de seguridad tener el contexto completo necesario para la búsqueda activa de amenazas e incluso reproducir eventos en el orden en que ocurren. Incident Workbench permite a los analistas ver todo el ataque, con pivotes para la poderosa capacidad de investigación y búsqueda de amenazas, e inteligencia para comprender mejor el ataque.



Figura 6. Cronología del gráfico de CrowdStrike Incident Workbench para la emulación VOODOO BEAR de MITRE Engenuity ATT&CK Evaluation (haga clic para ampliar)

En los próximos días, profundizaremos en todas las capacidades de la plataforma Falcon que trabajaron juntas para brindar excelentes resultados en la evaluación MITRE Engenuity ATT&CK de este año.


Compromiso con la transparencia y las pruebas públicas


A medida que continuamos con nuestro compromiso con la transparencia, es fundamental centrarse en la importancia de las pruebas y comprender cómo debe comportarse una solución en una implementación operativa en la que intervienen factores ambientales, como el tipo de infraestructura, las políticas existentes y el costo de propiedad.


Con las tácticas y técnicas adversarias en constante evolución, CrowdStrike continúa innovando y brindando nuevas capacidades para detectar y prevenir automáticamente el comercio emergente, protegiendo a los clientes.


A lo largo de la cuarta ronda de MITRE Engenuity ATT&CK Enterprise Evaluation, la plataforma Falcon demostró una excelente prevención contra adversarios sofisticados, brindó visibilidad a través de los pasos y subpasos del ataque y demostró una vez más que detenemos las infracciones.



Fuente: https://www.crowdstrike.com/blog/crowdstrike-achieves-100-percent-prevention-in-mitre-engenuity-attack-evaluation/



9 visualizaciones0 comentarios