Cómo interpretar una evaluación MITRE Engenuity sobre proveedores de seguridad

Las pruebas exhaustivas e independientes son un recurso vital para analizar las capacidades del proveedor para protegerse contra amenazas cada vez más sofisticadas contra la organización. Y quizás ninguna evaluación sea más confiable que la evaluación anual MITRE Engenuity ATT&CK.

Esta prueba es fundamental para evaluar a los proveedores porque es prácticamente imposible evaluar a los proveedores de ciberseguridad en función de sus propias afirmaciones de desempeño. Junto con las verificaciones de referencias de proveedores y las evaluaciones de prueba de valor (POV), una prueba en vivo, los resultados de MITRE agregan información objetiva adicional para evaluar de manera integral a los proveedores de ciberseguridad.

A continuación analizaremos la metodología de MITRE para probar a los proveedores de seguridad contra amenazas del mundo real, y la empresa Cynet ofrece una interpretación de los resultados e identifica las principales conclusiones.

¿Cómo prueba MITRE Engenuity a los proveedores durante la evaluación?

La evaluación realizada por MITRE Engenuity prueba las soluciones de protección de end-points contra una secuencia de ataque simulada, basada en enfoques de la vida real adoptados por conocidos grupos de amenazas persistentes avanzadas (APT). La evaluación de 2023 probó 31 soluciones de proveedores emulando las secuencias de ataque de Turla, un sofisticado grupo de amenazas con sede en Rusia y conocido por haber infectado a víctimas en más de 45 países.

Una advertencia importante es que MITRE no clasifica ni califica los resultados de los proveedores. En cambio, los datos de prueba sin procesar se publican junto con algunas herramientas básicas de comparación en línea. Luego, los compradores pueden utilizar esos datos para evaluar a los proveedores en función de las prioridades y necesidades únicas de su organización. Las interpretaciones de los resultados por parte de los proveedores participantes son sólo eso: sus interpretaciones.

Entonces, ¿cómo se interpretan los resultados?

Ésa es una gran pregunta. Los resultados de la evaluación MITRE ATT&CK no se presentan en un formato al cual estemos acostumbrados a digerir. En general, los investigadores declaran "ganadores" para aligerar la carga cognitiva de determinar qué proveedores tienen el mejor desempeño. En este caso, identificar al "mejor" proveedor es subjetivo.

Una vez emitidas estas exenciones de responsabilidad, revisemos ahora los resultados para comparar y contrastar el desempeño de los proveedores participantes con respecto a Turla.

Resumen de resultados de MITRE ATT&CK

La visibilidad general es el número total de pasos de ataque detectados en los 143 subpasos. Cynet define la calidad de la detección como el porcentaje de subpasos del ataque que incluyen "detecciones analíticas: aquellas que identifican la táctica (por qué puede estar ocurriendo una actividad) o la técnica (por qué y cómo está ocurriendo la técnica).

MITRE permite a los proveedores reconfigurar sus sistemas para intentar detectar amenazas que pasaron por alto o mejorar la información que proporcionan para la detección. En el mundo real no podemos darnos el lujo de reconfigurar nuestros sistemas debido a una detección deficiente o fallida, por lo que la medida más realista son las detecciones antes de que se implementen los cambios de configuración.

Este análisis ilustra qué tan bien funciona una solución a la hora de detectar amenazas y proporciona el contexto necesario para que las detecciones sean procesables. Las detecciones omitidas son una invitación a una infracción, mientras que las detecciones de mala calidad crean trabajo innecesario para los analistas de seguridad o potencialmente provocan que se ignore la alerta, lo que nuevamente es una invitación a una infracción.

Fuente: THN

Suscríbete a nuestro Boletín