Niezależna ocena widoczności ataków, telemetrii i możliwości reagowania na incydenty
Prezentujemy wyniki z testów rozwiązań EDR i XDR skoncentrowane na widoczności ataków, jakości telemetrii, korelacji zdarzeń oraz możliwościach prowadzenia analiz i reagowania na incydenty.
Tegoroczna edycja powstała z myślą o organizacjach, zespołach SOC, administratorach bezpieczeństwa oraz producentach rozwiązań cyberbezpieczeństwa, którzy chcą zweryfikować nie tylko skuteczność wykrywania zagrożeń, ale również jakość danych dostępnych podczas dochodzeń powłamaniowych.
Dlaczego sama detekcja już nie wystarcza?
Współczesne rozwiązania bezpieczeństwa coraz częściej osiągają wysokie wyniki w zakresie wykrywania zagrożeń. W praktyce oznacza to, że różnice pomiędzy produktami coraz rzadziej dotyczą samego faktu wykrycia ataku.
Kluczowe jest jednak to, co dzieje się później:
- Jak szczegółowa jest telemetria?
- Czy możliwe jest odtworzenie pełnego przebiegu ataku?
- Czy analityk widzi zależności pomiędzy zdarzeniami?
- Czy dostępne są dane sieciowe, procesowe i kontekst użytkownika?
- Jak szybko można przeprowadzić analizę incydentu?
To właśnie te obszary stanowią główny przedmiot tegorocznego testu.
Zakres testów
W ramach testu analizowaliśmy zdolność produktów do monitorowania i korelacji aktywności występujących podczas rzeczywistych scenariuszy ataków.
Testowane techniki obejmowały m.in.:
- phishing i uruchamianie złośliwych plików
- powershell i skrypty
- LOLBins (Living-off-the-Land Binaries)
- zadania harmonogramu (Scheduled Tasks)
- zdalne wykonanie kodu
- ruch boczny (Lateral Movement)
- SMB i WMI
- mechanizmy utrwalania dostępu (Persistence)
- eksfiltrację danych
- wieloetapowe scenariusze ataków
Co ocenialiśmy?
- jakość alertów
- kontekst wykrycia
- identyfikację technik ataku
- mapowanie do MITRE ATT&CK
- procesy i relacje parent-child
- linie poleceń
- operacje na plikach
- zmiany w rejestrze
- komunikację sieciow
- kontekst użytkownika
- korelację w obrębie hosta
- korelację pomiędzy hostami
- rekonstrukcję łańcucha ataku
- wizualizację przebiegu incydentu
- analizę osi czasu
- izolację hosta
- działania naprawcze
- zarządzanie IOC
- wsparcie dochodzeń
- możliwości threat huntingu
Na jakie pytania odpowiada nasz test?
Celem tej analizy jest sprawdzenie czy dane rozwiązanie EDR-XDR dostarcza analitykom bezpieczeństwa informacji niezbędnych do wykrywania, analizy oraz obsługi incydentów bezpieczeństwa.
1.
2.
3.
4.
5.
W przeciwieństwie do klasycznych testów skupiających się wyłącznie na skuteczności wykrywania, oceniamy również jakość informacji dostępnych po wykryciu zagrożenia. Pozwala to określić, czy rozwiązanie wspiera analityka w zrozumieniu przebiegu incydentu, identyfikacji źródła zagrożenia oraz podejmowaniu działań naprawczych.
Poziomy certyfikatów
LEVEL 1
LEVEL 2
Najważniejsze obserwacje z testu
Ogólny poziom wykrywania zagrożeń był wysoki. Większość testowanych produktów skutecznie identyfikowała symulowane działania przeciwnika na różnych etapach ataku.
Największe różnice pomiędzy rozwiązaniami dotyczyły:
kompletności telemetrii
dostępności danych RAW
jakości korelacji między hostami
możliwości rekonstrukcji ataku
poziomu automatyzacji analiz
funkcji reagowania i dochodzeń
W niektórych przypadkach rozwiązania skutecznie blokowały zagrożenia jeszcze przed ich uruchomieniem lub wykonaniem kolejnych etapów ataku. W zależności od architektury produktu mogło to jednak skutkować ograniczoną dostępnością telemetrii dotyczącej zablokowanej aktywności, co utrudniało pełną rekonstrukcję przebiegu ataku oraz analizę części zdarzeń z perspektywy dochodzenia powłamaniowego.
Jednocześnie większość testowanych rozwiązań zapewniała wysoki poziom widoczności aktywności procesów, zdarzeń systemowych oraz działań użytkowników. W wielu przypadkach dostępne były szczegółowe informacje dotyczące linii poleceń, relacji parent-child, komunikacji sieciowej oraz mapowania do technik MITRE ATT&CK, co znacząco ułatwiało analizę incydentów.
Na uwagę zasługuje również rozwój funkcji wspierających zespoły SOC i Incident Response. Wiele platform oferowało rozbudowane mechanizmy dochodzeniowe, wizualizację łańcucha ataku, zarządzanie IOC, działania naprawcze oraz integracje z zewnętrznymi systemami bezpieczeństwa.
Pomimo różnic w zakresie telemetrii i korelacji zdarzeń, większość ocenianych produktów dostarczała wystarczający poziom informacji do identyfikacji źródła incydentu, zrozumienia przebiegu ataku oraz podjęcia działań ograniczających jego skutki.
Testowane rozwiązania
Szczegółowe raporty dla poszczególnych producentów zawierają między innymi: wyniki testów, przykłady telemetrii, analizę korelacji zdarzeń, ocenę funkcji Incident Response, mapowanie do MITRE ATT&CK, komentarze analityków AVLab.
Metodologia
Wszystkie scenariusze zostały przeprowadzone w kontrolowanym środowisku laboratoryjnym z wykorzystaniem rzeczywistych technik stosowanych przez współczesnych przeciwników.
Każdy scenariusz był wcześniej zweryfikowany i wykonywany według identycznej procedury dla wszystkich testowanych produktów.
Celem testu nie było wyłącznie sprawdzenie skuteczności ochrony, lecz również ocena jakości informacji dostępnych dla analityków po wystąpieniu incydentu.
Od 2012 roku przeprowadzamy niezależne testy bezpieczeństwa rozwiązań ochrony punktów końcowych, EDR i XDR.
Specjalizujemy się w opracowywaniu i realizacji scenariuszy ataków wieloetapowych, bezplikowych oraz sieciowych na potrzeby testów rozwiązań bezpieczeństwa. Współpracujemy z producentami i dostawcami technologii cyberbezpieczeństwa.
Jesteśmy uczestnikiem inicjatywy Microsoft Virus Initiative (MVI), która umożliwia współpracę z firmą Microsoft oraz dostęp do informacji technicznych istotnych z punktu widzenia testowania rozwiązań bezpieczeństwa.
Działamy zgodnie ze standardami AMTSO, które promują transparentność, powtarzalność i obiektywizm testów bezpieczeństwa. Stosujemy uznane praktyki testowe, obejmujące m.in. przejrzystość metodologii, weryfikowalność wyników oraz współpracę z dostawcami na etapie przygotowania i realizacji testów.
