Reading Time: 2 minutes

A framework ATT&CK da MITRE tem sido usado para avaliar a eficiente de diversos produtos de segurança.

Em abril, a MITRE anunciou um novo serviço baseado na sua estrutura ATT & CK (Adversarial Tactics, Techniques e Common Knowledge) para avaliar produtos com base na capacidade de detetar ameaças persistentes avançadas (APTs).

“There are a lot of products on the market that try to detect adversary behavior, and we’re trying to figure out what they can do,” says Frank Duff, principle cybersecurity engineer at MITRE.
Duff explicou que a MITRE adota uma metodologia transparente e uma base de conhecimento que facilitará a interpretação dos resultados obtidos através da utilização do seu serviço.
Numa primeira fase, a MITRE ofereceu a possibilidade de avaliar o serviço e sua eficiência num estudo de caso sobre o grupo de espionagem APT3 / Gothic Panda.
O APT3 (também conhecido como UPS Team, Gothic Panda, Buckeye e TG-0110) é um grupo APT ligado à China, que opera sob o controle do Ministério de Segurança do Estado da China.
O grupo de espionagem  é responsável por várias campanhas, incluindo a Operação Clandestine Fox, a Operação Clandestine Wolf e a Operação Double Tap. Em junho de 2015, o grupo parece ter mudado de alvo, nomeadamente organizações políticas de Hong Kong.

Os primeiros testes da framework ATT & CK realizados pela Mitre avaliaram a capacidade dos produtos Carbon Black, CrowdStrike, CounterTack, Endgame, Microsoft, RSA e SentinelOne em detectar o APT3.

Os testes concentram-se nas capacidades do produto detectar atividades mal-intencionadas, normalmente realizadas pelos agentes de ameaça, depois de comprometerem o sistema de uma organização. É importante ressaltar que a estrutura MITRE ATT & CK não atribui pontuações a cada produto, não é projetada como uma ferramenta de comparação.

“Direct comparison between vendor capabilities is complicated, and we encourage anyone using our results to consider other factors we didn’t evaluate. Our evaluations are narrowly focused on the technical ability to detect adversary behavior.” Duff wrote in a blog post.

“There are other factors we are not accounting for in our evaluations that should be considered by decision makers as they decide which tool best fits their needs,” Duff said. “You should consider factors such as cost of ownership, sophistication of your Security Operations Center, environmental noise, integration with other tools, user interface, security policies, and other factors. One product may not fit every need, and products can address different needs in different ways.”

 

MITRE trabalhou com fornecedores durante as avaliações e partilhou com eles os resultados.

“We approach the evaluations with a collaborative, “purple-teaming” mindset, and we think this allows us to better articulate what a vendor’s capability can do than if we left them out of the process. During the evaluation, MITRE and the vendor are in open communication.” 

“The vendor then shows us their detections and describes their process so that we can verify the detection. Since our goal is to capture different detection methods, we may even suggest to the vendor how their capability might have detected the behavior.”

 

Pedro Tavares is a professional in the field of information security, working as an Ethical Hacker, Malware Analyst, Cybersecurity Analyst and also a Security Evangelist. He is also a founding member and Pentester at CSIRT.UBI and founder of the security computer blog seguranca-informatica.pt.

In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, hacking, cybersecurity, IoT and security in computer networks.  He is also Freelance Writer.

Read more here.