MITRE ATT&CK publicó sus Evaluaciones para Empresas, y la detección y respuesta de endpoint de FortiEDR de Fortinet bloqueó el 100% de los ataques. Este es el segundo año consecutivo que FortiEDR bloquea todas las amenazas, y hubo un aumento del 32% en su capacidad para detectar subpasos con casi el 100% de todas las técnicas identificadas.
Las evaluaciones MITRE ATT&CK de este año son excepcionalmente importantes dado que los ciberdelincuentes continúan golpeando a las organizaciones (aproximadamente 150.000 detecciones individuales por semana) con una variedad de cepas de ransomware nuevas y previamente vistas, según el reciente Informe de Amenazas de FortiGuard Labs.
Las evaluaciones MITRE ATT&CK testean la capacidad de los productos de ciberseguridad para detectar el comportamiento conocido del adversario. Para proporcionar información objetiva sobre las capacidades del producto, MITRE utiliza su base de conocimientos de ‘Tácticas adversarias, técnicas y conocimientos comunes’ (ATT&CK, por sus siglas en inglés) para emular las tácticas y técnicas observadas en el comportamiento de los hackers del mundo real.
Esta ronda de evaluaciones se centró en los grupos de amenazas Wizard Spider y Sandworm. Wizard Spider es un grupo criminal motivado financieramente que ha estado llevando a cabo campañas de ransomware desde agosto de 2018 contra una variedad de organizaciones, que van desde grandes corporaciones hasta hospitales.
Sandworm es un grupo de amenaza destructiva, conocido por llevar a cabo ataques notables como los ataques de 2015 y 2016 contra compañías eléctricas ucranianas y los ataques NotPetya de 2017.
Los resultados de FortiEDR
FortiEDR participó en nueve de los diez escenarios que se realizaron este año. En los nueve escenarios, detectó y catalogó el 97% de los pasos utilizados en la prueba y bloqueó todos los ataques.
Además, el 93% de los subpasos se detectaron utilizando la técnica que conecta una descripción del proceso con la técnica bajo prueba para una solución de detección y respuesta de endpoint (EDR).
El crecimiento en la capacidad de diagnosticar amenazas utilizando el marco MITRE permite a FortiEDR ser una herramienta confiable para las organizaciones.
Como señala Gartner, ‘la detección de amenazas es difícil. Los profesionales técnicos de seguridad y gestión de riesgos deben defender su organización contra cientos de amenazas conocidas y posiblemente aún más desconocidas. El marco MITRE ATT&CK ha evolucionado para proporcionar una taxonomía común para las amenazas y una base para la detección de éstas’.
Al adoptar este estándar, FortiEDR se ha vuelto más intuitivo para los operadores de seguridad, especialmente cuando se buscan amenazas. Los resultados muestran cómo las capacidades maduras de caza, detección y prevención de amenazas en FortiEDR se benefician de sus tecnologías de inteligencia artificial y aprendizaje automático incorporadas.
Debido a que FortiEDR no depende de las firmas (pero aún las usa en la nube), es probable que los futuros ciberataques que utilicen tácticas y técnicas similares a las de la evaluación sean bloqueados, incluso sin inteligencia de amenazas preexistente sobre ellos.
Fortinet colaboró recientemente a través del MITRE Engenuity Center for Threat Informed Defense y descubrió que el 90% de todas las técnicas cibercriminales avistadas en los últimos 28 meses se clasificaban en solo 15 categorías.
Por lo tanto, la capacidad demostrada no solo de comprender sino también de bloquear en función de estas técnicas brinda a las organizaciones confianza en su capacidad para protegerse incluso contra campañas de ransomware previamente desconocidas.
FortiEDR tiene un enfoque único para el monitoreo profundo de la actividad del sistema llamado «rastreo de código». Los beneficios de esta tecnología patentada fueron evidentes en los resultados de la evaluación.
Para permanecer sigilosas y discretas, las amenazas avanzadas a menudo violan una o más instrucciones legítimas del sistema operativo. Al correlacionar las instrucciones de comunicación saliente o modificación de archivos del sistema operativo con el flujo de instrucciones del sistema operativo anterior, FortiEDR puede detectar y prevenir acciones maliciosas en tiempo real.
Las evaluaciones Mitre ATT&CK demuestran lo bien que funcionan combinados una verdadera plataforma de protección de endpoints (EPP) basada en el comportamiento y un enfoque EDR de un solo agente, junto con el rastreo de código en FortiEDR para detectar y prevenir amenazas.