Resultados das avaliações MITRE Engenuity ATT&CK® 2023 (Rodada 5: Turla)

Resultados das avaliações MITRE Engenuity ATT&CK® 2023 (Rodada 5: Turla)

21 de Novembro de 2023
Mercado

As soluções de detecção e resposta de endpoints (EDR) estão melhorando em sua capacidade de detectar e responder a ameaças sofisticadas.

A quinta rodada das avaliações MITRE Engenuity ATT&CK® foi lançada, avaliando a capacidade de 29 soluções de detecção e resposta de endpoints (EDR) para identificar, analisar e descrever as táticas, técnicas e procedimentos (TTPs) alavancados por um dos grupos de ameaças mais sofisticados: Turla. 

As avaliações ATT&CK® são uma série de simulações de ataques reais que são usadas para avaliar a capacidade das soluções de segurança cibernética de detectar e responder às ameaças. As avaliações são realizadas por um grupo de especialistas independentes e os resultados são publicados publicamente. 

Na rodada de 2023, as soluções de EDR foram avaliadas contra um conjunto de TTPs usados pelo grupo de ameaças Turla. Trata-se de um grupo de hackers patrocinado pelo governo russo que está ativo há mais de duas décadas. O Turla é conhecido por seu uso de técnicas sofisticadas, incluindo malware persistente, engenharia social e ataques direcionados. 

Das 29 soluções avaliadas, 19 foram capazes de detectar com sucesso todos os TTPs usados pelo Turla. No entanto, apenas 12 foram capazes de fornecer uma análise completa dos ataques, incluindo a identificação de todos os processos e arquivos envolvidos. 

Os resultados das avaliações também mostram que as soluções de EDR são mais eficazes na detecção de ataques iniciais do que na detecção de ataques avançados. Isso ocorre porque os ataques iniciais geralmente são mais simples e usam TTPs mais comuns. 

As avaliações ATT&CK® são uma ferramenta importante para empresas que buscam melhorar sua segurança cibernética. Os resultados das avaliações podem ajudar as empresas a identificar as áreas onde suas soluções de segurança precisam ser aprimoradas. 

Cenário de Ataque 1 – “Carbono” : O primeiro dia de testes, intitulado “Carbono”, consistiu em uma campanha de ataque de várias camadas visando a infraestrutura Windows e Linux por meio da implantação de malware específico da Turla, incluindo Epic, um backdoor comumente usado durante os estágios iniciais dos ataques de Turla, Carbon, um backdoor de segundo estágio e estrutura usada para roubar informações confidenciais das vítimas, e Penquin, um trojan de acesso remoto (RAT). 

 

Cenário de Ataque 2 – “Snake”: O cenário do segundo dia, intitulado “Snake”, emulou um ataque a uma organização hipotética com foco na exploração do kernel e do Microsoft Exchange que mais uma vez aproveitou a Epic, bem como o Snake, uma ferramenta usada para coleta de inteligência a longo prazo em alvos sensíveis e considerada uma das ferramentas de espionagem cibernética mais sofisticadas atualmente em uso, e LightNeuron, um backdoor sofisticado usado para atingir servidores do Microsoft Exchange. 

Resultados do Sophos Intercept X: 

• 99% de Cobertura Total de Detecção (141 de 143 subpassos de ataque) 

• 98% de Cobertura Analítica Total (140 de 143 subpassos de ataque) 

• 99% de Cobertura Analítica para “Carbono” (75 de 76 subpassos) 

• 97% de Cobertura Analítica para “Snake” (65 de 67 subpassos) 

A qualidade da detecção é fundamental para fornecer aos analistas detalhes sobre o comportamento do adversário, para que as investigações e ações de resposta possam ser executadas de forma rápida e eficiente.

As categorias de detecção incluem: 

Não aplicável – não havia visibilidade (normalmente usada em situações em que o participante optou por não participar ou não pôde concluir essa parte da avaliação). 

Nenhum – Nada foi detectado; uma “falta”. 

Telemetria – Algo aconteceu, mas não tenho certeza do quê; nenhum contexto fornecido. 

Geral – Um evento anormal foi detectado, mas não há contexto sobre o porquê ou como; o “O QUE”.

Tática – A detecção inclui informações sobre a intenção potencial do invasor; o “PORQUÊ” .

Técnica – A detecção inclui informações sobre o método do invasor para alcançar um objetivo; o “COMO”.

Recomendações para melhorar a detecção de ameaças 

Com base nos resultados das avaliações, as empresas podem tomar as seguintes medidas para melhorar a detecção de ameaças: 

  • Investir em soluções de EDR que tenham uma forte capacidade de detecção de ameaças. 
  • Atualizar regularmente as soluções de EDR para garantir que elas estejam protegidas contra as últimas ameaças. 
  • Implementar políticas e procedimentos de segurança sólidos para ajudar a proteger os sistemas e dados da empresa. 

Ao tomar essas medidas, as empresas podem ajudar a proteger seus sistemas e dados contra ataques sofisticados.

Referência: Sophos

Alguma dúvida? Entre em contato com um especialista Spivit!
Fale com especialista