حساب کاربری

جدیدترین مقالات

جدیدترین محصولات

عملکرد ESET در ارزیابی ATT&amp CK® چگونه بود؟

ارزیابی ESET

عملکرد ESET

عملکرد ESET در ارزیابی ATT&CK® چگونه بود؟

نتایج آخرین دور ارزیابی‌های MITER Engenuity ATT&CK® منتشر شد. این بار ارزیابی علیه جنایات سایبری جادوگر عنکبوت و گروه‌های دولت-کشور Sandworm مدل‌سازی شد. ESET یکی از پیشگامان تحقیق در مورد کرم شنی است، با برخی از مهم ترین اکتشافات در مورد این گروه تهدید کننده در کمربند ما – اما بعداً در مورد آن بیشتر خواهد شد.

ابتدا، اجازه دهید نگاهی کوتاه به روش ارزیابی و مهمتر از همه، نحوه عملکرد ESET Inspect (بازرس سازمانی ESET سابق) بیندازیم.

بررسی اجمالی ارزیابی و عملکرد ESET

همانطور که توسط MITER Engenuity تاکید شد است، “این ارزیابی ها یک تحلیل رقابتی نیستند” و بنابراین “هیچ برنده ای وجود ندارد”. ارزیابی‌ها یک عکس فوری حرفه‌ای، شفاف و عینی از قابلیت‌های ابزار تشخیص تهدید نقطه پایانی برای شناسایی برخی از رفتارهای متخاصم است که توسط گروه‌های تهدید انتخاب شد به عنوان موضوع دور فعلی نشان  شد است. در عین حال، حوزه های خاصی وجود دارد – که در دفاع در دنیای واقعی بسیار مهم است – که خارج از محدوده ارزیابی ها هستند.

برخی از پارامترهای کلیدی که ارزیابی‌ها در نظر نمی‌گیرند عبارتند از: عملکرد و منابع مورد نیاز، استراتژی هشدار، سر و صدا (خستگی هشدار – هر محصولی می‌تواند با تولید هشدار در مورد هر اقدام ثبت شده در محیط آزمایش، امتیاز بسیار بالایی در اکثر این نتایج کسب کند)، یکپارچه‌سازی. با نرم افزار امنیتی نقطه پایانی و سهولت استفاده.

دلیل این امر این است که سازمان‌ها، تیم‌های مرکز عملیات امنیتی (SOC) و مهندسان امنیتی، همگی دارای سطوح مختلف بلوغ و مقررات متفاوتی هستند که باید با آن‌ها مطابقت داشته باشند، همراه با مجموعه‌ای از نیازهای خاص بخش، شرکت و سایت. از این رو، همه معیارهای ارائه شده در ارزیابی‌های ATT&CK اهمیت یکسانی برای هر ارزیاب ندارند.

تجربه و تجزیه و تحلیل این ارزیابی

برای تجزیه و تحلیل صحیح نتایج ارزیابی، درک متدولوژی و چند اصطلاح کلیدی مهم است. سناریوهای تشخیص شامل 19 مرحله (10 مرحله برای Wizard Spider و 9 برای Sandworm) بود که طیفی از تاکتیک‌های فهرست شده در چارچوب ATT&CK، از دسترسی اولیه به حرکت جانبی، جمع‌آوری، خروج و غیره را در بر می‌گرفت. سپس این مراحل به یک سطح دانه بندی تر تقسیم می شوند – در مجموع 109 مرحله فرعی. ESET Inspect که از ماشین‌های لینوکس پشتیبانی می‌کند، هنوز در زمان ارزیابی منتشر نشده بود، بنابراین مراحل و مراحل فرعی مربوط به لینوکس خارج از محدوده بودند. یعنی 15 مرحله و 90 مرحله فرعی در مورد ESET ارزیابی شدند. تیم MITER Engenuity پاسخ ها و سطح دید را در هر مرحله فرعی برای هر راه حل شرکت کننده ثبت کرد.

نرم افزار آنتی ویروس چیست ؟

نتایج ارزیابی

سپس نتایج در معیارهای مختلف، اساساً بر اساس توانایی راه‌حل برای مشاهده رفتارهای حمله شبیه‌سازی شده (دسته Telemetry) یا ارائه داده‌های تحلیلی دقیق‌تر (دسته‌های عمومی، تاکتیک، و تکنیک) ترکیب شدند. برای جزئیات بیشتر، مستندات MITER Engenuity در مورد دسته‌های تشخیص را بخوانید.

عملکرد ESET
دسته های تشخیص در ارزیابی Wizard Spider و Sandworm (منبع تصویر: MITER Engenuity)

شکل 1. دسته های تشخیص در ارزیابی Wizard Spider و Sandworm (منبع تصویر: MITER Engenuity)

نتایج ارزیابی ESET | عملکرد ESET

نتایج در اینجا برای عموم در دسترس است.

از 15 مرحله قابل اجرا در ارزیابی تشخیص، ESET Inspect همه مراحل (100٪) را شناسایی کرد. شکل 2 و 3 انواع مختلف تشخیص در هر مرحله را نشان می دهد.

ارزیابی ESET
شکل 2. توزیع نوع تشخیص به مرحله در سناریوی Wizard Spider (منبع تصویر: MITER Engenuity)

شکل 2. توزیع نوع تشخیص به مرحله در سناریوی Wizard Spider (منبع تصویر: MITER Engenuity)

ارزیابی ESET
Figure 3. Distribution of detection type by step in the Sandworm scenario (image source: MITRE Engenuity)

 

از بین 90 مرحله فرعی قابل اجرا در شبیه سازی، ESET Inspect 75 مرحله فرعی (83٪) را با شکستن شبیه سازی حمله به سطح دانه ای تر، شناسایی کرد. شکل 4 و 5 انواع مختلف تشخیص را در هر مرحله فرعی نشان می دهد.

همانطور که نتایج نشان می دهد، ESET Inspect به مدافعان دید عالی از اقدامات مهاجم در سیستم در معرض خطر در تمام مراحل حمله را ارائه می دهد.

معیار های ارزیابی

یک معیار کلیدی که برای تحلیلگران SOC مهم است تا بفهمند در محیط آنها چه اتفاقی می افتد، تجزیه و تحلیل است – زمینه اضافی -. به عنوان مثال، چرا مهاجم اقدام خاصی را روی سیستم انجام اطلاعات است. ESET Inspect این اطلاعات اضافی را برای 69 مرحله فرعی شناسایی شده (92٪) ارائه کرد.

توجه داشته باشید که ESET در ارزیابی لینوکس شرکت نکرد زیرا نسخه جدید ESET Inspect با پشتیبانی لینوکس تنها در 30 مارس 2022 به صورت عمومی راه اندازی شد. و پوشش ما از همه پلتفرم های اصلی در کنار ویندوز و macOS را تکمیل کرد.

جدا از شناسایی لینوکس (توجه داشته باشید که اکوسیستم ESET محافظت نقطه پایانی را برای لینوکس فراهم می کند – اما این خارج از محدوده این ارزیابی بود)، ESET Inspect 15 مرحله از 90 مرحله فرعی را شناسایی نکرد.

نظارت بر ارزیابی

تقریباً همه این موارد به دلیل عدم نظارت ESET Inspect بر برخی تماس‌های API است. نظارت API به دلیل نسبت سیگنال به نویز نامطلوب، یک تجارت دشوار است. با توجه به تعداد بسیار زیاد فراخوانی های API موجود در یک سیستم، نظارت بر همه آنها نه امکان پذیر است و نه مطلوب، زیرا این امر باعث کاهش منابع می شود.

برای ارائه یک مثال، یکی از مراحل فرعی از دست رفته (10.A.3) مربوط به تشخیص فراخوانی CreateToolhelp32Snapshot API است. که معمولاً در برنامه های کاربردی قانونی برای شمارش فرآیند استفاده می شود. این مرحله فرعی قبل از تلاش برای تزریق کد مخرب به یک فرآیند است. ESET Inspect استراتژی کارآمدتری را برای شناسایی این تزریق فرآیند اتخاذ می‌کند و تمرکز خود را بر روی اقدامات کمتر و مشکوک‌تر قرار می‌دهد.

.

این به هیچ وجه سعی نمی‌کند بگوییم که نظارت API در چک لیست مدافعان جای خود را ندارد .  ESET به طور مداوم سناریوهایی را ارزیابی می‌کند که در آنها هوشیاری و افزودن قابلیت‌های تشخیص منطقی است . اما در برخی موارد این کار مزایای اضافی بسیار کمی را در اختیار دارد. یک هزینه بسیار بالا

ارزیابی ESET

ارتباط ارزیابی ESET با نقطه پایانی

اصل کلیدی هنگام طراحی راه حل موثر تشخیص و پاسخ (XDR) – ( عملکرد ESET  ) و این در نرم افزار امنیتی نقطه پایانی نیز صدق می کند – تعادل است. در تئوری، ایجاد راه‌حلی که 100٪ تشخیص را به دست می‌آورد آسان است – به سادگی همه چیز را شناسایی کنید. البته، چنین راه‌حلی تقریباً بی‌فایده خواهد بود و دقیقاً به همین دلیل است که آزمایش‌های سنتی حفاظت از نقطه پایانی همیشه معیاری را برای موارد مثبت کاذب شامل می‌شوند. – یک آزمایش مقایسه‌ای واقعی بدون آزمایش مثبت کاذب نمی‌تواند انجام شود. به همین دلیل است که پلتفرم‌های تجزیه و تحلیل امنیتی معمولاً از نرخ مثبت کاذب بالایی رنج می‌برند و نیاز به منابع زیادی دارند. چنین پلتفرم هایی باید با راه حل های XDR مبارزه کنند تا مرتبط باقی بمانند.

.

بله، وضعیت XDR در مقایسه با محافظت نقطه پایانی کمی متفاوت است. (زیرا می‌توانید بدون هشدار نظارت یا تشخیص دهید) اما اصول همچنان اعمال می‌شوند: تشخیص‌های بیش از حد. نویز زیادی ایجاد می‌کند که منجر به خستگی هشدار می‌شود. این باعث افزایش حجم کار برای تحلیلگران SOC می‌شود، که مجبورند تعداد زیادی شناسایی را غربال کنند. که دقیقاً عکس اثر مورد نظر را به دنبال دارد: این امر آنها را از هشدارهای واقعی با شدت بالا منحرف می‌کند. علاوه بر افزایش بار کاری انسان، تشخیص های بسیار کم اهمیت نیز هزینه ها را به دلیل عملکرد بالاتر و نیازهای ذخیره سازی داده افزایش می دهد.

ایجاد پیشرفت ESET

نقش اساسی یک راه حل خوب XDR لزوماً این نیست که تحلیلگران را در مورد هر روشی که در طول یک حمله (یا مرحله فرعی در ارزیابی ATT&CK) انجام می شود، آگاه کند. بلکه باید به آنها هشدار دهد که حمله ای رخ داد است (یا در حال انجام است) … و پس از آن، با ارائه قابلیت هدایت شفاف از طریق شواهد دقیق و ساختار منطقی از آنچه در محیط و زمان رخ داده است، از تحقیقات پشتیبانی کند. این قابلیتی است که ما همچنان در توسعه ESET Inspect تاکید زیادی روی آن داریم.

شکل 6 ( عملکرد ESET )تشخیص مرحله فرعی 19.A.6 را نشان می دهد – تلاشی برای انتشار NotPetya از یک ماشین آلوده از طریق WMI. شکل 7 تلاش شناسایی شده از طرف دیگر – ماشین مورد نظر را نشان می دهد.

علاوه بر هشدار به تحلیلگران SOC در مورد فعالیت مخرب، اطلاعات متنی اضافی ارائه می شود، از جمله پارامترهای خط فرمان دقیق اجرا شده توسط دشمن، و زنجیره اجرا و درخت فرآیند – که رویدادهای مرتبط دیگری را که مشکوک یا آشکارا مخرب بودند برجسته می کند.

 

دیدگاهتان را بنویسید

ما را در شبکه های اجتماعی دنبال کنید

درباره گیگاکالا

فروشگاه اینترنتی گیگا کالا در زمینه خرید و فروش انواع آنتی ویروس و لایسنس های آن فعالیت مستمر دارد.
گیگاکالا یک برندی نام آشنا در زمینه نرم افزار های امنیتی همچون انتی ویروس ها برای سیستم های مختلفی مانند: لپ تاپ ( ویندوز_ مک _ لینوکس) _ موبایل (اندورید_ ios ) و… نیز فعالیت میکند.

دسترسی سریع محصولات

راه های ارتباطی گیگا کالا

logo (1)
logo

تمام حقوق سایت متعلق به شرکت آرتااندیش نیک کوشان هوشمند الوند است

طراحی سایت  | آرتاکد