SentinelOne показал 100%-ную защиту и обнаружение по результатам MITRE Engenuity ATT&CK 2023

30 октября 2023

Четвертый год подряд платформа SentinelOne Singularity стабильно показывает свои лучшие в отрасли возможности обнаружения и защиты. Это подтверждено в ходе оценки MITRE ATT&CK Enterprise Evaluation. 

Программа продемонстрировала 100%-ную защиту от всех тестируемых угроз, абсолютное обнаружение в режиме реального времени, показатель видимости 96%.

В 2023 году оценка была сосредоточена на хакерской группировке Turla, которая использует сложные собственные инструменты, вредоносные программы для кибератак. С 2004 года Turla в более чем 45 странах атаковала предприятия критической инфраструктуры.

Turla филигранно взламывает как операционные системы Linux, так и Windows. Злоумышленники являются гибкими, используют вредоносное ПО собственной разработки с открытым исходным кодом. Тщательно разработанный набор инструментов позволяет уклоняться от обнаружения и атаковать жертв любого размера и отрасли.

Полное обнаружение и защита реальном времени

Платформа SentinelOne Singularity успешно обнаружила и заблокировала угрозы на каждом этапе оценки. Возможности защиты в очередной раз подтвердили, что программа может справиться даже с такими сложными и хитрыми угрозами, как Turla. Уникальный подход SentinelOne к оценке MITRE в этом году отражает их философию защиты - скорость и автономная работа имеют решающее значение. Сложные атаки могут за считанные минуты перейти к компрометации учетных данных, горизонтальному перемещению, шифрованию данных и вымогательству. Нет времени ждать аналитиков, результатов «песочницы» или ручных рабочих процессов. Обнаруженная угроза в режиме real time предотвратит большие затраты и ущерб организации.

Платформа Singularity обеспечивает автономную и комплексную защиту с нулевыми задержками. В отличие от многих участников этого теста, в их результатах нет отложенных модификаторов. Это означает, что защита работает автоматически «из коробки», а данные доступны в режиме реального времени.

SentinelOne тестировал без изменений конфигурации, с сохранением логики обнаружения. MITRE предоставляет поставщикам возможность повторно протестировать любой шаг. Обычно это означает, что поставщик внедрил совершенно новые источники данных или логику обнаружения.

Злоумышленник-вымогатель не позволит повысить свою безопасность во время атаки. При оценке решений корпоративной безопасности для реального развертывания разумно изучить производительность поставщика без задержек и настроек. В результатах SentinelOne вы не найдете никаких модификаторов или изменений.

Почему важна видимость?

Аналитики могут увидеть атаку целиком, объединить оповещения и отдельные события в единое комплексное представление об инциденте, независимо от того, откуда поступили данные. Глубокий обзор инфраструктуры означает, что специалисты по безопасности могут обеспечить полное устранение угрозы. Жертвы программ-вымогателей могут стать повторно мишенью, поэтому полное удаление зараженных активов является обязательным условием в борьбе с киберугрозами.

Вредоносные оповещения визуализируются и отображаются в больших количествах, сотнями и тысячами. Сортировка бесконечных оповещений усложняет расследование и увеличивает время ответа. Запатентованная технология Storyline компании SentinelOne автоматически объединяет похожие оповещения, предоставляя аналитикам полную картину обнаружений по всем векторам атак, связанных с несколькими инцидентами. Такая расстановка приоритетов обеспечивает быстрое и полное устранение проблем.

Этот метод обогащает и расширяет расследования с помощью телеметрии из любого стороннего источника. Аналитические данные дают комплексное представление о предприятии и улучшают состояние безопасности.

Защита виртуального и физического пространства

Хотя оценка технологий важна, особенно в сфере кибербезопасности, физическая инфраструктура тоже требует защиты. SentinelOne успешно проходит оценку MITRE ATT&CK используя платформу и функции, которым доверяют их клиенты. Платформа Singularity обнаружила и заблокировала каждую фазу атаки Turla с нулевыми задержками, без реконфигураций или дополнительных функций.

Интерпретация результатов оценки MITRE

Как описано выше, компания SentinelOne предложила наиболее реалистичное и актуальное решение, которое клиент мог бы использовать в физическом пространстве. MITRE формирует обнаружения согласно категориям, их всего пять.

1. None – признак того, что атака не обнаружена. А если более точно, то это значит, что итоговый результат не подходит под критерии выявления MITRE Engenuity.
2. Telemetry – телеметрия, произошел инцидент, который имеет связь с атакой.
3. General – найденная атака, в эту категорию входят все оповещения с подозрительной активностью, но ее не классифицировали злоумышленники, она не подходит не под какую тактику.
4. Tactic – атака, которую можно сопоставить с определенной тактикой хакеров. Допустим, известно, что преступники поставили цель получить доступ к учетным записям.
5. Technique – выявление известной техники и разоблачение направления деятельности хакерских групп.

Ниже приведены результаты Sentinel One по 18 шагам, в которых компания приняла участие без модификаторов и/или изменения конфигурации.

На диаграммах ниже показано, как CrowdStrike и Microsoft справились с задачей в режиме реального времени, выполнив одни и те же 18 шагов. SentinelOne значительно лучше обеспечивает общую видимость, производительность при аналитическом обнаружении.

Разработчик SentinelOne стремится к инновациям и предлагает решения для обеспечения безопасности клиентов. Singularity — это первая платформа с искусственным интеллектом, которая обеспечивает видимость и защиту в масштабах всего предприятия.