BITDEFENDER: MITRE ATT&CK® Enterprise Evaluations 2024

Sophos excels in the 2024 MITRE ATT&CK® Evaluations: Enterprise – Sophos News

MITRE là một tổ chức phi lợi nhuận hỗ trợ hoạt động R&D trong cả khu vực tư nhân và công cộng. 

Trong vài năm trở lại đây, Đánh giá của MITRE ATT&CK® đã trở thành tiêu chuẩn để đánh giá khả năng phát hiện của các sản phẩm và dịch vụ bảo mật bằng cách mô phỏng các cuộc tấn công trong thế giới thực. 

Một số lượng lớn các cuộc điều tra trong năm nay cho thấy những kẻ tấn công thường không bị phát hiện mặc dù có nhiều dấu hiệu về hoạt động của chúng. Điều này thường xảy ra vì các tổ chức bảo mật không có khả năng hiển thị các hệ thống hoặc nguồn dữ liệu có liên quan, không nhận ra tầm quan trọng của thông tin mà họ quan sát được – hoặc bị quá tải với các cảnh báo và không thể đánh giá đầy đủ về các thông tin này. 

Đối với đánh giá năm nay, MITRE đã giới thiệu hai số liệu quan trọng và rất cần thiết là “tổng số cảnh báo được tạo ra (Alerts Volume) ” và “kết quả dương tính giả (False Positives)” để phản ánh tốt hơn khả năng hành động của các giải pháp từ các nhà cung cấp tham gia. Đây là lần đầu tiên MITRE đưa khía cạnh này vào đánh giá sản phẩm của mình. 

Sự thay đổi này mang đến một góc nhìn mới cho người mua tiềm năng trong việc đánh giá các giải pháp bảo mật và chứng minh cam kết của MITRE trong việc tiến hành đánh giá gần giống với các tình huống thực tế. 

Đánh giá MITRE ATT&CK® cho Doanh nghiệp – Vòng 6 

Đối với Vòng 6, MITRE đã chuẩn bị ba kịch bản phát hiện (và một kịch bản bảo vệ) tập trung vào phần mềm tống tiền (cụ thể là Cl0p và LockBit), cũng như các cuộc tấn công nhắm vào hệ thống macOS của Cộng hòa Dân chủ Nhân dân Triều Tiên (DPRK). Điều này đánh dấu sự mở rộng đáng kể về phạm vi đánh giá vì không phải tất cả các nhà cung cấp đều thử nghiệm trên macOS. Trong khi hai kịch bản phần mềm tống tiền tập trung vào Windows, một kịch bản cũng bao gồm các phát hiện liên quan đến Linux Ubuntu

Với bản sửa đổi mới nhất về công thức đánh giá, ba số liệu chính hiện cung cấp thông tin chi tiết về các phương pháp tiếp cận được thực hiện bởi các nhà cung cấp và giải pháp bảo mật khác nhau: 

  • Độ phong phú của cảnh báo: Mức độ chi tiết và ngữ cảnh mà một cảnh báo cung cấp. Cảnh báo chi tiết giúp đội ngũ bảo mật hiểu rõ hơn về mối đe dọa tiềm ẩn, cho phép họ thực hiện hành động phù hợp. 
  • Kết quả dương tính giả: Đây là những sự kiện được thiết kế có chủ đích trong các tình huống đánh giá mà không nên kích hoạt cảnh báo. 
  • Tổng số cảnh báo được tạo: Khối lượng tổng thể của các cảnh báo mà một sản phẩm tạo ra. Khối lượng cảnh báo quá lớn có thể làm quá tải đội ngũ bảo mật, khiến họ khó ưu tiên và xử lý các mối đe dọa thực sự..\ 

Phân tích của Bitdefender đã cân nhắc xem có nên báo cáo kết quả cho từng kịch bản riêng lẻ hay cung cấp bản tóm tắt tích lũy. Cuối cùng, Bitdefender đã chọn phân tích tóm tắt, với kết quả đầy đủ cho tất cả các số liệu chính. 

Cảnh báo Độ phong phú so với Cảnh báo Khối lượng 

Tương tự như các vòng trước, MITRE đã bao gồm một hệ thống phát hiện với nhiều mức độ bao phủ khác nhau. Điều quan trọng là phải hiểu rằng xếp hạng này dựa trên logic phát hiện được xác định trước, không chỉ dựa trên việc ánh xạ đến MITRE ATT&CK® Framework. 

Ví dụ: ngay cả khi nhà cung cấp xác định một kỹ thuật là “System Location Discovery” và kỹ thuật phụ cụ thể là “System Language Discovery”, thì phát hiện có thể được đánh dấu là “None” nếu nó không cung cấp các chi tiết bắt buộc như việc sử dụng lệnh gọi API ‘NtQueryInstallUILanguage’. Nói cách khác, việc cung cấp thông tin chi tiết không tự động đảm bảo xếp hạng phát hiện cao. Phân tích của Bitdefender chỉ bao gồm phạm vi ‘phân tích’, các phát hiện vượt ra ngoài phạm vi nhận dạng cơ bản và cung cấp thêm bối cảnh và thông tin. 

Đánh giá của MITRE bao gồm dữ liệu về tổng số cảnh báo được tạo ra, được chia nhỏ hơn nữa theo mức độ nghiêm trọng. Điều này cung cấp thông tin chi tiết có giá trị về khối lượng cảnh báo chung và sự phân phối cảnh báo trên các mức độ đe dọa khác nhau.  

Các giải pháp hiệu quả nhất sẽ tạo ra sự cân bằng phù hợp giữa việc cung cấp đủ ngữ cảnh trong mỗi cảnh báo để hiểu mối đe dọa và giảm thiểu số lượng cảnh báo. Một lượng lớn cảnh báo, ngay cả với thông tin chi tiết phong phú, có thể nhanh chóng làm cho người quản trị quá tải, dẫn đến tình trạng mệt mỏi khi xử lý, xem xét các cảnh báo và có khả năng giảm hiệu suất phản ứng hiệu quả của họ đối với các mối đe dọa quan trọng.  

Hình 1: Độ phong phú của cảnh báo so với Khối lượng cảnh báo (Cảnh báo cao và nghiêm trọng) – Hình ảnh trực quan chỉ bao gồm các cảnh báo có mức độ nghiêm trọng Cao hoặc Nghiêm trọng. Những người tham gia có khối lượng cảnh báo rất cao, một số vượt quá hàng nghìn, đã được điều chỉnh để dễ đọc hơn. 

Kết quả dương tính giả (False Positives) 

MITRE cũng đã giới thiệu khái niệm về False Positives (FP) trong các đánh giá của họ. Các FP này về cơ bản là “bẫy” – các sự kiện được thiết kế có chủ đích trong các kịch bản đánh giá không nên kích hoạt cảnh báo. Nếu một giải pháp bảo mật báo cáo một trong những sự kiện “bẫy” này, điều đó cho biết giải pháp đang tạo ra các kết quả dương tính giả. Điều quan trọng cần lưu ý là các FP được đo chỉ đại diện cho một tập hợp con các kết quả dương tính giả tiềm ẩn do một giải pháp tạo ra, đặc biệt là với khối lượng cảnh báo cao. 

Hình 2: Biểu đồ minh họa mối quan hệ giữa Độ phong phú của cảnh báo và các trường hợp dương tính giả được kích hoạt 

BITDEFENDER: Ưu tiên những hiểu biết có thể hành động 

Đánh giá MITRE ATT&CK® cho MRD đã chứng minh hiệu suất vượt trội của nhóm MDR – Bitdefender. Với việc giới thiệu các số liệu mới trong đánh giá mới nhất này, các yếu tố khiến nền tảng của Bitdefender có thể hành động độc đáo hiện đã được nhìn thấy rõ ràng. 

Trong khi 25% nhà cung cấp không tham gia vào kịch bản macOS thì Bitdefender đã đạt được phạm vi phân tích 100% cho cả Linux và macOS, với không có kết quả dương tính giả (FP) nào trong cả hai trường hợp. Phạm vi phân tích tổng thể là 91% với 6 FP. 

Đáng chú ý, số lượng trung bình các sự cố được báo cáo cho SOC với nền tảng GravityZone chỉ là 3 trên tất cả các kịch bản, so với mức trung bình là 35.000 đối với các giải pháp khác. Bằng cách liên kết hiệu quả tất cả các kịch bản thành một số lượng nhỏ các sự cố, mỗi sự cố có đủ chi tiết giúp các quản trị viên có thể nhanh chóng phát hiện và ứng phó với các mối đe dọa đang diễn ra. Trọng tâm của Bitdefender về khả năng hành động được chứng minh thêm bằng các tính năng độc đáo của GravityZone như Incident Advisor , một bản tóm tắt một trang về các sự cố bảo mật mở rộng. 

Kết luận 

Đánh giá MITRE mới nhất cho thấy thế mạnh của Bitdefender: khả năng phát hiện mối đe dọa đặc biệt, thông tin chi tiết có thể hành động và cam kết giảm thiểu tình trạng cảnh báo quá tải. Điều này chuyển thành một giải pháp mạnh mẽ giúp các nhóm bảo mật tập trung vào những gì quan trọng nhất – phản ứng hiệu quả với các mối đe dọa thực sự và giữ an toàn cho các tổ chức. 

Hình 3: Tóm tắt kết quả cho tất cả 3 tình huống phát hiện được sắp xếp theo khối lượng cảnh báo/sự cố được tạo ra.  

Hiện tại Tech Horizon là nhà phân phối chính thức của BITDEFENDER tại thị trường Việt Nam.
Quý đơn vị có nhu cầu vui lòng liên hệ với chúng tôi để được hỗ trợ tư vấn và lắp đặt các thiết bị với chi phí đầu tư cạnh tranh, giải pháp đa dạng, hỗ trợ kỹ thuật tận tình.

————————————————————————-

CÔNG TY CP TMDV CÔNG NGHỆ CHÂN TRỜI (TECH HORIZON CORP) 

Trụ sở: Số 22, đường số 9, KDC Trung Sơn, Bình Hưng, Bình Chánh, TP.HCM
VP Hà Nội: Tầng 4, Sport Hotel, Làng Sinh viên Hacinco, Thanh Xuân, Hà Nội 
Website: https://techhorizonvn.com
Email: info@techhorizonvn.com
Điện thoại: 028 5431 6046 hoặc 024 6286 2118
Fanpage: Tech Horizon Việt Nam

Uy Trần/ Tech Horizon

Tags: ,

Leave a comment

Hey, so you decided to leave a comment! That's great. Just fill in the required fields and hit submit. Note that your comment will need to be reviewed before its published.