В этой статье мы приводим краткий обзор тестирования MITRE, эмулирующего Carbanak и FIN7, а также его результаты в виде удобной сортируемой таблицы.
Небольшой спойлер: SentinelOne показал лучшие результаты по трем из четырех метрик — покрытие аналитики, покрытие телеметрии и visibility, без каких-либо изменений конфигурации. Microsoft стал лучшим в четвертой метрике, показав наибольшее число отдельных детектов.
Что такое тестирование (или эмуляция атак) MITRE ATT&CK?
В 2018 году MITRE запустил программу ATT&CK Evaluations, целью которой является стимулирование вендоров к улучшению функционала своих EDR-решений. Тесты позволяют пользователям принимать более обоснованные решения о возможностях EDR-продуктов благодаря прозрачности и общедоступности процесса оценки. Используя платформу MITRE ATT&CK в качестве эталона, MITRE проверяет, как коммерческие СЗИ детектируют злоумышленников. Эмуляция противника, тестирование «в стиле» определённого злоумышленника, позволяет очертить конкретные границы тестирования и гарантировать, что проверки основаны на реальных угрозах.
20 апреля 2021 года стали доступны результаты нового, третьего по счету, тестирования MITRE ATT&CK, проведенного в 2020 году и эмулировавшего действия группировок Carbanak и FIN7. Всего в этом раунде тестирований MITRE приняли участие 29 вендоров, тогда как в 2018 году в эмуляция APT3 приняли участие 12 компаний, а в 2019 году уже 21 участник пытался детектировать APT29. Более того, если раньше проверялись только возможности детекта атак, то в этом году 17 вендоров приняли участие в новом тесте, ориентированном на предотвращение атак. В этом дополнительном тесте проверялось, как решения блокируют действия злоумышленника на всем жизненном цикле атаки после первоначального взлома.
Кто такие Carbanak и FIN7
Как Carbanak, так и FIN7 хороши известны специалистам по ИБ. По разным оценкам, участники Carbanak украли от 300 млн. до 1 млрд. долларов, в основном атакуя банки России, а также Швейцарии, США, Нидерландов, Украины, Японии, совокупно порядка 100 банков из 30 стран. FIN7 приписывают кражу более чем 15 миллионов записей о кредитных картах в более чем сотне компаний США, а также на международных рынках. Некоторые считают, что это одна группировка, но, по мнению MITRE, это две разные организации, и связывает их только то, что они обе использует вредонос Carbanak.
Как проходило третье тестирование MITRE и что в нем нового
Тестирование проводилось в Microsoft Azure Cloud. Каждому поставщику были предоставлены две идентичные среды, состоящие из восьми хостов в каждой, для установки их клиентского программного обеспечения. Эти две среды использовались для проверки только детекта и только блокирования атак соответственно. У вендоров также была возможность установить серверное программное обеспечение на виртуальную машину (ВМ), уже находящуюся в среде, или при необходимости импортировать свою виртуальную машину. По умолчанию виртуальные машины Azure были стандартными B4MS, каждая с четырьмя виртуальными CPU и 16 ГБ памяти. Каждый поставщик имел полный и неограниченный административный доступ к хостам, созданным для них.
Доступ к VPN позволял подключаться к среде, а пароли передавались через сторонние методы. На каждую среду приходился один сервер VPN, и вендоры затем использовали RDP или SSH внутри тестовой среды. Хосты были доступны только по VPN. У них не было публичных IP-адресов, назначенных им через Azure, но они имели доступ к Интернету.
При эмуляции атак Carbanak и FIN7 использовались 65 техник в 11 тактиках ATT&CK, в том числе 12 техник по 7 тактикам ATT&CK для Linux-части оценки Carbanak. Тактика Impact не вошла в периметр данного тестирования.
Сценарий Carbanak: этот сценарий начинается с того, что легитимный пользователь запускает вредоносное ПО, доставленное с помощью целевых фишинговых атак на финансовые учреждения. После первоначального взлома Carbanak распространяется на другие хосты за счет повышения привилегий, доступа к учетным данным и латерального движения с целью компрометации служб процессинга, банкоматов и финансовых счетов. Если Carbanak понимает, что взломал потенциально интересную цель, они закрепляются в инфраструктуре, чтобы изучить внутренние процедуры и технологии финансовой организации. Используя эту информацию, Carbanak переводит средства на банковские счета, находящиеся под их контролем, завершая свою миссию.
Сценарий FIN7: этот сценарий имитирует атаку FIN7, нацеленную на сеть управления отелем для получения доступа к информации о кредитных картах. Сценарий начинается с того, что FIN7 получает первоначальный доступ к сети после того, как ничего не подозревающий пользователь запускает вредоносный файл .LNK. Затем FIN7 перемещается на привилегированную рабочую станцию ИТ-администратора. Из этой системы кейлоггеры FIN7 записывают учетные данные, необходимые для доступа к рабочей станции бухгалтера. Затем FIN7 переходит на рабочую станцию бухгалтера, закрепляется там и развертывает вредоносное ПО для копирования информации о кредитных картах из памяти процесса.
Детальное описание процесса тестирования, шагов атак, среды, затрагиваемых техник и тактик доступны на сайте MITRE Engenuity. Ниже приведена высокоуровневая схема атаки отдельно для обеих эмуляций.
Интересно, что Лаборатория Касперского в этом раунде не принимала участие, хотя участвовала в прошлый раз. Кроме того, впервые тестировались возможности выявления атак на Linux-системах. На сайте результатов MITRE также добавил высокоуровневый обзор результатов испытаний, в том числе краткое описание действий злоумышленника за каждый день тестов Carbanak и FIN7, а также интерфейс Explorer для анализа и просмотра результатов каждого подшага проверок для каждого вендора.
По итогам прошлых тестов разработчики EPP-решений просили добавить тесты, ориентированные на предотвращение атак, и это было сделано в виде опционального теста. Все оценки основного теста требовали, чтобы средства блокирования атак были отключены или находились в режиме алертинга. MITRE разрешил включить функционал предотвращения для нового теста, но ограничил его область применения. Никакая информация, полученная в ходе проверки детекта атак, не была использована для изменения настроек блокирования атак. Сценарии атак Carbanak и FIN7 были поделены на пять шагов каждый, и возможности блокирования проверялись для каждого шага отдельно.
Отображение результатов теста
Известно, что результаты прошлых тестов были представлены в сложном для восприятия виде. По итогам текущего теста на страницу каждого вендора MITRE добавил итоговую таблицу, которая в сжатом виде отображает метрики по каждому раунду — общее число детектов, число качественных (аналитических) детектов, число детектов телеметрии, и общее число шагов злоумышленника, на котором сработал любой детект.
Вот что означают термины, используемые в этой таблице:
- Detection (Обнаружение) — любая информация, необработанная или обработанная, которая может быть использована для определения поведения злоумышленника.
- Detection Count (Количество детектов) — это сумма всех сырых (телеметрия) и обработанных (аналитика) детектов, которые соответствовали критериям обнаружения MITRE. На каждом подэтапе атаки продукт мог сработать (выдать детект) более одного раза.
- Telemetry (Телеметрия) — любое необработанное или минимально обработанное обнаружение (например, запуск процесса, создание файла)
- Telemetry Coverage (Покрытие телеметрии) — количество подэтапов, на которых телеметрия была доступна
- Analytic (Аналитика) — любое обработанное продуктом обнаружение, то есть к полученной телеметрии было применено правило или логика и т.п. (например, сопоставление детекта с матрицей ATT&CK или описание произошедшего срабатывания)
- Analytic Coverage (Покрытие аналитики) — количество подэтапов, на которых была доступна одна или несколько срабатываний с аналитикой.
- Visibility (Мониторинг или Видимость) — количество подэтапов, на которых были доступны аналитика или телеметрия.
Более детальное описание теста MITRE доступно в статье Фрэнка Даффа, директора тестирований ATT&CK фонда MITRE Engenuity, а также на сайте самого тестирования.
Кто кого? Результаты испытаний MITRE Carbanak+Fin7
Ниже приведены данные по наиболее популярным в России и СНГ решениям (Касперский не принимал участие в этом тестировании). Результаты по всем участникам доступны на сайте MITRE.
Важные замечания: таблица отсортирована по столбцу «Видимость» (Visibility). Вы можете отсортировать ее по другому столбцу, нажав его имя. Для столбца «Количество детектов» нет максимального значения (в рамках одного подшага могло быть множество детектов), для остальных столбцов максимальное значение — 174 подшага.
Вендор | Видимость | Покрытие аналитики | Покрытие телеметрии | Количество детектов |
---|---|---|---|---|
SentinelOne | 174 | 159 | 164 | 333 |
Palo Alto Networks | 169 | 149 | 154 | 335 |
Trend Micro | 167 | 139 | 162 | 338 |
Check Point | 162 | 157 | 161 | 330 |
Symantec | 159 | 122 | 143 | 282 |
VMware Carbon Black | 154 | 90 | 152 | 278 |
CrowdStrike | 152 | 64 | 141 | 231 |
McAfee | 151 | 93 | 148 | 274 |
Microsoft | 151 | 134 | 148 | 356 |
ESET | 147 | 93 | 143 | 271 |
Fidelis | 147 | 119 | 147 | 282 |
BlackBerry Cylance | 141 | 99 | 134 | 253 |
FireEye | 136 | 124 | 117 | 259 |
Cisco | 122 | 42 | 112 | 160 |
Sophos | 118 | 39 | 114 | 157 |
Fortinet | 117 | 68 | 113 | 196 |
Дополнительные полезные материалы
- Анализ в блоге Forrester
- Интерактивный инструмент сравнения двух вендоров по всем техникам
- Интерактивный инструмент сравнения вендоров по конкретным техникам
Демо и бесплатное тестирование SentinelOne
Заинтересованы? Закажите демонстрацию, расчет цен или тест SentinelOne по ссылке ниже.
Также регистрируйтесь на вебинар SentinelOne по разбору результатов теста MITRE.