Aprende a interpretar los resultados de la evaluación MITRE ATT&CK de 2022

Aprende a interpretar los resultados de la evaluación MITRE ATT&CK de 2022

  • jueves 4 agosto, 2022

Las pruebas de MITRE ATT&CK se han convertido en la fuente de facto para las evaluaciones cuantitativas de la capacidad de un proveedor de seguridad cibernética para protegerse contra las amenazas del mundo real.

Esta prueba es fundamental para evaluar a los proveedores porque es prácticamente imposible evaluar a los proveedores de seguridad cibernética en función de sus propias afirmaciones de rendimiento (sí, algunos exageran un poco). Junto con las referencias de clientes de proveedores y las evaluaciones de prueba de valor (POV), una prueba en vivo, en su entorno, los resultados de MITRE agregan información objetiva adicional para evaluar a los proveedores de ciberseguridad.

En este blog, explicaremos cómo MITRE Engenuity prueba a los proveedores de seguridad durante su evaluación, cómo hemos interpretado los resultados y las principales conclusiones de la evaluación de Cynet este año.

¿Cómo prueba MITRE Engenuity a los proveedores durante la evaluación?

La evaluación MITRE ATT&CK es realizada por MITRE Engenuity y prueba las soluciones de protección de terminales contra una secuencia de ataque simulada basada en enfoques de la vida real adoptados por grupos conocidos de amenazas persistentes avanzadas (APT). La evaluación MITRE ATT&CK de 2022 incluyó 30 soluciones de proveedores que utilizaron secuencias de ataque basadas en los grupos de amenazas Wizard Spider y Sandworm.

Siempre es importante tener en cuenta que MITRE no clasifica ni califica los resultados de los proveedores. En cambio, los datos de prueba sin procesar se publican junto con algunas herramientas básicas de comparación en línea. Los compradores pueden usar los datos para evaluar a los proveedores como mejor les parezca en función de las prioridades y necesidades únicas de su organización. Las interpretaciones de los resultados de los proveedores participantes son solo eso: sus interpretaciones. MITRE no interpreta los resultados ni revisa el análisis de otros.

Entonces, ¿cómo interpretas los resultados?

Esa es una gran pregunta, una que muchas personas se están haciendo en este momento. Los resultados de la evaluación MITRE ATT&CK no se presentan en un formato al que muchos de nosotros estamos acostumbrados a digerir (lo estamos viendo, gráfico de cuatro cuadrantes).

Y los investigadores independientes a menudo declaran «ganadores», lo que nos quita la carga cognitiva cuando se trata de averiguar qué proveedores tienen el mejor desempeño. En este caso, identificar al «mejor» proveedor es subjetivo. Lo cual no es particularmente útil cuando ya está frustrado al tratar de evaluar qué proveedor de seguridad es el más adecuado para su organización.

Estén atentos porque compartiremos una guía que lo guiará a través de cómo interpretar los resultados y brindará una descripción detallada del desempeño de Cynet en comparación con los otros proveedores que participaron en la evaluación de este año. Así que, si aún no te has suscrito a nuestro blog, ahora es el momento de hacerlo.

Resumen de resultados de MITRE ATT&CK

La siguiente tabla presenta el análisis y el cálculo de Cynet de todos los resultados de las pruebas MITRE ATT&CK de proveedores para detección general, prevención general y calificación total.

La fórmula de Cynet para la tasa de detección es el número total de pasos de ataque detectados en los 109 subpasos (MITRE Engenuity define esta métrica como «Visibilidad»). Cynet define la tasa de prevención como el porcentaje de subpasos de ataques que no se ejecutaron debido a que el proveedor detectó y bloqueó la amenaza al principio del ciclo de vida del ataque, por lo que no permitió que se ejecutaran subpasos maliciosos adicionales.

Tenga en cuenta que las pruebas en el entorno Linux y las pruebas de protección eran opcionales para los proveedores en la evaluación de este año. Hubo nueve pruebas generales en la evaluación de Protección y 109 pasos en la evaluación de Detección, pero esos números se redujeron a ocho y 90, respectivamente, para los proveedores que no participaron en las pruebas de Linux. Todos los cálculos se basan en el número de pruebas en las que participó cada proveedor.

¿Cómo le fue a Cynet?

Según el análisis de Cynet, obtuvimos un sólido desempeño en la evaluación MITRE ATT&CK de este año, superandola mayoría de los proveedores en varias áreas clave.

Estas son las principales conclusiones de la interpretación de Cynet de nuestros resultados:

Cynet logró una visibilidad y detección del 100 % en cada uno de los 19 pasos de MITRE ATT&CK evaluados. Logró una tasa de protección del 100 % en nueve pruebas realizadas por MITRE Engenuity. Logró una cobertura analítica del 93,6 % (102 de 109 subpasos). Es el tercer proveedor en número de ataques prevenidos y en velocidad de prevención en total. Es el tercer proveedor en cobertura de detección (visibilidad = 98,2 %) en todos los subpasos (107 de 109 subpasos) realizados en la  evaluación MITRE ATT&CK

Cynet detectó el 98,5 % de las técnicas presentadas (65 de 66 técnicas únicas) en la evaluación de MITRE ATT&CK, lo que demuestra la capacidad de la plataforma para brindar visibilidad y protección en toda la cadena de eliminación de ATT&CK®.

Profundicemos un poco más en el análisis de los resultados de Cynet.

Cynet proporcionó un 100 % de visibilidad y detección en cada uno de los 19 pasos de MITRE ATT&CK evaluados. Es decir, Cynet pudo detectar una parte de cada uno de los 19 pasos de ataque únicos.

Cynet detectó el 98,5 % de las técnicas presentadas en los sistemas Windows y Linux probados. La detección general es una medida clave de la eficacia de una solución de protección de endpoints.

Cynet evitó el 88 % de los ataques antes de que pudiera tener lugar cualquier infiltración adicional (pasos secundarios) en el entorno de prueba. Las capacidades de prevención de Cynet estuvieron entre los tres mejores.

Otra perspectiva interesante es comparar la detección general con la protección general. Nuevamente, la detección general es la cantidad total de pasos de ataque detectados en todos los subpasos en los que participó el proveedor. La prevención general mide qué tan temprano en la secuencia de ataque se detectó la amenaza para que los pasos posteriores no pudieran ejecutarse. Tenga en cuenta que en este entorno de prueba, las secuencias se modelaron para aislar comportamientos específicos en lugar de cadenas completas de comportamientos.

Ambas son medidas importantes y son indicativas de una fuerte solución de detección de puntos finales. Cynet estuvo entre los cuatro mejores en la prueba de este año.

Tenga en cuenta que los proveedores que no participaron en las pruebas de Protección no están incluidos en el siguiente cuadro.

¿Todavía tienes preguntas?

Comprensible.

Acércate con nosotros y conoce más acerca de como Advance Networks te puede ayudar a mantener protegidos tus endpoints con un SOC especialista de origen israelí sin costos adicional.

Post Recientes

Soluciones de Ciberseguridad Hillstone: Protegiendo Perímetros y Más Allá

 domingo 28 mayo, 2023 Soluciones de Ciberseguridad Hillstone: Protegiendo Perímetros y Más Allá

Soluciones avanzadas de Ciberseguridad en entornos Multi-Cloud:  Radware SecurePath

 domingo 7 mayo, 2023 Soluciones avanzadas de Ciberseguridad en entornos Multi-Cloud:  Radware SecurePath

Ciberseguridad en la era Multi-Nube: Los Desafíos

 domingo 7 mayo, 2023 Ciberseguridad en la era Multi-Nube: Los Desafíos

¿Qué es un WAF?, ¿Necesita un WAF mi empresa?

 sábado 6 mayo, 2023 ¿Qué es un WAF?, ¿Necesita un WAF mi empresa?