As avaliações do MITRE ATT&CK analisam a capacidade dos produtos de segurança cibernética em detectar o comportamento dos atacantes. Para fornecer insights objetivos sobre os recursos do produto, a MITRE usa sua base de conhecimento ATT&CK (Adversarial Tactics, Techniques & Common Knowledge) para simular as táticas e técnicas utilizadas por hackers do mundo real.

Esta rodada de avaliações se concentrou nos grupos de ameaças Wizard Spider e Sandworm. O Wizard Spider é um grupo criminoso com motivação financeira que vem realizando campanhas de ransomware desde agosto de 2018 contra uma variedade de organizações, desde grandes corporações até hospitais. Sandworm é um grupo de ameaças destrutivas conhecido por realizar ataques notáveis, como os ataques de 2015 e 2016 contra empresas elétricas ucranianas e os ataques NotPetya de 2017.

Os resultados do FortiEDR

O FortiEDR participou de nove dos dez cenários analisados e, nos nove cenários, o FortiEDR detectou e catalogou 97% das etapas usadas no teste e bloqueou todos os ataques. Além disso, 93% das subetapas foram detectadas usando “técnica”, que conecta uma descrição de nível de técnica com a técnica sob teste para uma solução de detecção e resposta de endpoint (EDR). O crescimento na capacidade de diagnosticar ameaças usando a estrutura MITRE garante a confiabilidade do FortiEDR para as organizações.

Como observa o Gartner®, “a detecção de ameaças é difícil. Os profissionais técnicos de segurança e gerenciamento de risco devem defender sua organização contra centenas de ameaças conhecidas e possivelmente por um número ainda maior de ameaças desconhecidas. A estrutura MITRE ATT&CK evoluiu para fornecer uma taxonomia comum para ameaças e uma base para a detecção de ameaças."1

Ao adotar esse padrão, o FortiEDR tornou-se mais intuitivo para os operadores de segurança, especialmente na busca de ameaças. Os resultados mostram como os recursos maduros de caça, detecção e prevenção de ameaças no FortiEDR se beneficiam de suas tecnologias integradas de inteligência artificial e aprendizado de máquina. Como o FortiEDR não depende de assinaturas (mas ainda as usa na nuvem), os ataques cibernéticos futuros que utilizam táticas e técnicas semelhantes às da avaliação provavelmente serão bloqueados, mesmo sem inteligência de ameaças pré-existente sobre eles.

A Fortinet recentemente colaborou com o MITRE Engenuity Center for Threat Informed Defense e descobriu que 90% de todas as técnicas cibercriminosas avistadas nos últimos 28 meses se enquadravam em apenas 15 categorias. Portanto, a capacidade demonstrada de não apenas entender, mas também bloquear com base nessas técnicas, dá às organizações confiança em sua capacidade de se proteger até mesmo contra campanhas de ransomware anteriormente desconhecidas.

O FortiEDR tem uma abordagem única para o monitoramento profundo da atividade do sistema chamada “rastreamento de código”. Os benefícios desta tecnologia patenteada foram evidentes nos resultados da avaliação. Para permanecerem furtivas e discretas, as ameaças avançadas geralmente violam uma ou mais instruções legítimas do sistema operacional. Ao correlacionar a comunicação de saída do sistema operacional ou as instruções de modificação de arquivos com o fluxo de instruções do sistema operacional anterior, o FortiEDR pode detectar e impedir ações maliciosas em tempo real.

As avaliações do MITRE ATT&CK demonstram quão bem a verdadeira plataforma de proteção de endpoint de agente único baseada em comportamento (EPP) e a abordagem EDR, juntamente ao rastreamento de código no FortiEDR, funcionam para detectar e prevenir ameaças.

[1] Gartner, How to Use MITRE ATT&CK to Improve Threat Detection Capabilities, Joshua Ammons, 30 July 2021, GARTNER is a registered trademark and service mark of Gartner, Inc. and/or its affiliates in the U.S. and internationally and is used herein with permission. All rights reserved.