MITRE ATT&CK – ReaQta Hive ottiene il 100% di Detection Coverage

28/06/2021

Per le valutazioni del “MITRE Engenuity 2020”, nella quale ReaQta ottine il 100% di Detection Coverage, MITRE ha scelto di valutare due noti attori di minacce: Carbanak e FIN7, mentre la valutazione dello scorso anno, riguardante APT29, era incentrata sullo spionaggio governativo, quest’ultimo round si è concentrato su attori di minacce motivati finanziariamente e ha incluso, per la prima volta, test su endpoint Windows e Linux,

Entrambi i gruppi di minacce sono noti per il loro mestiere, efficienza e furtività, nonché per l’utilizzo di molte tecniche avanzate per esfiltrare dati preziosi dalle loro vittime.

Le banche erano l’obiettivo principale di Carbanak, mentre FIN7 si rivolge principalmente al settore della vendita al dettaglio, della ristorazione e dell’ospitalità negli Stati Uniti.

Sono state impostate ed eseguite due sofisticate emulazioni dell’avversario per testare le capacità dei difensori di identificarli e seguirli. Come la precedente edizione APT29, ReaQta-Hive ha mostrato le sue capacità Best-in-Class e ha fornito risultati impressionanti.

I risultati di ReaQta, sia su Windows che su Linux, nella valutazione di quest’anno includono:

  • Copertura di rilevamento del 100% su tutta la cyber kill chain.
  • Nessuna modifica alla configurazione durante l’intera valutazione.
  • Rilevamenti in tempo reale al 100% senza delay nei rilevamenti.

I risultati dimostrano le capacità di ReaQta-Hive di fornire una copertura completa dagli attacchi sofisticati, senza intervento umano, producendo al contempo la quantità minima di avvisi ad alta fedeltà senza falsi positivi.

Come è successo durante il Round 2 della valutazione MITRE, il suo NanoOS™, l’hypervisor live utilizzato per rilevare comportamenti dannosi di alto livello, non ha potuto essere utilizzato a causa di restrizioni nell’ambiente di test. Tuttavia, la piattaforma ha funzionato molto bene, anche senza il suo componente principale.

Copertura di rilevamento del 100% lungo tutta la catena di cyber kill

In entrambi gli scenari Cabarnak e FIN7, ReaQta-Hive è stato in grado di rilevare autonomamente il 100% delle attività lungo la cyber kill chain e ha fornito all’utente avvisi ad alta fedeltà con informazioni significative e fruibili, definendo chiaramente i passaggi successivi.

Perché questo è importante?

I nostri clienti preferiscono meno avvisi altamente consolidati rispetto a quelli multipli e meno informativi. Questo approccio riduce costantemente il carico di lavoro manuale e fornisce un quadro chiaro degli eventi che si stanno verificando, senza la necessità di inseguire gli aggressori per centinaia o addirittura migliaia di diversi eventi di sicurezza.

Rilevamenti completamente autonomi al 100%

Solo pochi fornitori sono riusciti a ottenere un tasso di rilevamento del 100%, lungo l’intera cyber-kill chain, senza modifiche alla configurazione, ReaQta è uno di loro. Le modifiche alla configurazione aiutano i fornitori a modificare i propri rilevamenti man mano che l’attacco progredisce. Tuttavia, negli scenari di vita reale, una modifica della configurazione di solito non è realistica poiché gli aggressori non danno ai difensori una seconda possibilità di modificare i loro rilevamenti prima di passare al passaggio successivo. In ReaQta, per garantire una valutazione equa delle nostre capacità di rilevamento, abbiamo deciso, come previsto, di non alterare la configurazione iniziale della nostra piattaforma.

Perché questo è importante?

Le modifiche alla configurazione presuppongono la conoscenza preliminare di un attacco, il che non è il caso nella maggior parte degli scenari. Se una piattaforma richiede diverse modifiche alla configurazione per funzionare alla massima efficienza, o anche solo per rilevare una minaccia attiva, le sue capacità di rilevamento autonomo sono inevitabilmente compromesse, così come la capacità di rispondere in tempo reale.

100% dei rilevamenti effettuati in tempo reale senza ritardi

Tutti i rilevamenti di ReaQta-Hive erano interamente in tempo reale, collocando ReaQta tra i pochissimi fornitori in grado di farlo. I motori di analisi comportamentale al centro di ReaQta-Hive lo hanno reso possibile, assicurando che ogni fase dell’attacco fosse tracciata come -happened, riducendo al minimo il rischio di perdere eventi importanti in attesa che componenti esterni eseguano le proprie analisi.

Perché questo è importante?

Man mano che gli hacker si innovano, sempre più passaggi vengono automatizzati. L’automazione consente agli aggressori di muoversi in amnieta estremamente veloce all’interno di una rete: le operazioni che prima richiedevano minuti o ore solo pochi anni fa, ora avvengono in pochi secondi. Un’identificazione immediata e una risposta automatizzata tracciano il confine tra un’infrastruttura completamente compromessa e una violazione non riuscita.

Fornire sicurezza senza complessità

La piattaforma di intelligence sulla difesa attiva di ReaQta, ReaQta-Hive, mira a risolvere il crescente numero di aziende vittime di attività dannose da parte di criminali informatici. Mentre i metodi di protezione tradizionali combattono le minacce note e sono vulnerabili a tecniche di attacco sofisticate, la piattaforma rivoluzionaria di ReaQta blocca le minacce note e sconosciute in tempo reale. Attraverso il deep learning, la piattaforma migliora costantemente nella definizione del comportamento normale su misura per ogni azienda per endpoint, consentendo di bloccare qualsiasi comportamento anomalo.

Inoltre, le soluzioni tradizionali richiedono che i team di sicurezza informatica interni o esterni agiscano su qualsiasi minaccia segnalata. La piattaforma di ReaQta non solo rileva le minacce, ma consente anche una risposta alle minacce senza soluzione di continuità e automatizzata in tempo reale. ReaQta è stato recentemente nominato Cool Vendor 2020 da Gartner in Network and Endpoint Security per questo approccio unico nell’affrontare le minacce informatiche di tutte le forme.

Per saperne di più su ciò che rende ReaQta unico, guarda il nostro webinar oppure contattaci.

PUBBLICATO DA:<br>Domenico Panetta
PUBBLICATO DA:
Domenico Panetta
Presales Technical Engineer

ARTICOLI CORRELATI

SpamTitan & Office365 Advanced Threat Protection

SpamTitan & Office365 Advanced Threat Protection

L'Advanced Threat Protection (ATP) è un tipo di soluzione di sicurezza che protegge le organizzazioni da malware e attacchi informatici complessi, che prendono di mira i dati sensibili. L'ATP difende dall'evoluzione delle tecniche e delle strategie di attacco...

Il NIST dice no, alle credenziali compromesse

Il NIST dice no, alle credenziali compromesse

Governi e aziende, stanno riconoscendo quanto siano vulnerabili i loro cittadini e dipendenti agli attacchi informatici e stanno iniziando a essere coinvolti, negli Stati Uniti, infatti, il National Institute of Standards and Technology (NIST) ha pubblicato la Digital...