¿Estás visitando desde Argentina?
Ingresá a Linware Argentina ⯈
Continuar en Linware Argentina ⯈
×
¿Qué estás buscando?
BUSCAR!
INICIO
NOSOTROS
imMail 3CX MagicSpam VMware Zimbra Xinuos SUSE Bitrix24 Nakivo Proxmox Veeam Kaspersky OnlyOffice
PRODUCTOS ▾
SOLUCIONES
BLOG
CONTACTO
BLOG
Elastic Security detiene los ataques a la memoria y al kernel en la Ronda 5 de las evaluaciones
Publicada el 28/09/2023

MITRE Engenuity es una organización sin fines de lucro que brinda servicios de evaluación e inteligencia de amenazas adversas a la comunidad de seguridad. El marco ATT&CK es una base de conocimiento integral de tácticas, técnicas y procedimientos (TTP) del adversario. Las Evaluaciones MITRE Engenuity: Enterprise son una serie de evaluaciones rigurosas y contradictorias que evalúan la eficacia de los productos de seguridad contra amenazas del mundo real.

Este año, MITRE Engenuity se centró en la familia de malware Turla, un grupo ruso de amenazas persistentes avanzadas (APT) que ha estado activo desde principios de la década de 2000 y ha experimentado una mayor actividad desde 2015. Turla es conocido por su uso de TTP sofisticados, incluido el malware sin archivos . , ataques que viven de la tierra e implantes personalizados.

Elastic ® participó en las Evaluaciones ATT&CK de MITRE Engenuity: Enterprise 2023 y ha participado en todas las evaluaciones hasta la fecha. Como en años anteriores, fuimos evaluados según nuestra capacidad para detectar ataques en una variedad de plataformas, incluidas Windows y Linux. Para ver los resultados de nuestra Ronda 4, consulte nuestro blog: Elastic protege contra ransomware y amenazas de Linux en la evaluación de la Ronda 4 de MITRE Engenuity.

 

¿Cómo funciona el proceso de evaluación de MITRE Engenuity?

El equipo rojo de MITRE Engenuity emulará el oficio del atacante mientras el proveedor proporciona información sobre las protecciones observadas. La parte de detección de la evaluación no permite a los proveedores configurar prevenciones; los proveedores pueden optar por participar en la parte de prevención donde se pueden detener las técnicas. MITRE Engenuity también anotará el tipo de detección que tiene un proveedor junto con la fuente de datos requerida para la detección (como "creación de procesos"). Las categorías de detección van desde alertas basadas en ATT&CK (llamadas detecciones técnicas) hasta detecciones basadas en comportamientos sin firma (generalmente llamadas detecciones generales). Desglosaremos nuestros resultados y discutiremos el tipo de alertas en cada categoría en la siguiente sección.

 

La ronda 5 marca la primera vez que Elastic participó en la parte de prevención de las evaluaciones MITRE Engenuity ATT&CK. En esta prueba, los proveedores pueden habilitar la tecnología de prevención, a diferencia de la parte de detección de la evaluación donde MITRE Engenuity evalúa las capacidades de protección de un proveedor sin prevenciones. Discutiremos nuestros resultados en la siguiente sección.

 

Implementamos todas las integraciones de Elastic Defend , incluidos sensores de detección y paquetes de protección. Esto no solo incluye la visibilidad mejorada de los eventos que ocurren en los sistemas operativos Windows, macOS y Linux que permite los análisis y las reglas de seguridad resaltados durante la evaluación, sino también la tecnología de protección central. Esta tecnología evita la ejecución de malware y ransomware y detiene amenazas avanzadas con comportamiento malicioso, amenazas a la memoria y protecciones de refuerzo de credenciales, todo ello impulsado por Elastic Security Labs y nuestra comunidad global. Todo esto se destacó durante la evaluación.

 

Cómo Elastic Security detuvo el ataque

Entonces, ¿cómo se desempeñó Elastic Security en la Ronda 5? Comencemos con una parte crítica de la evaluación: ¿cómo detuvo al atacante? En todas las pruebas excepto dos, pudimos detener el ataque en el primer paso, que representó la entrega o ejecución inicial de malware, una prevención necesaria para detener el ataque antes de que hubiera algún daño o pérdida. La integración de prevención de comportamiento malicioso de Elastic Security para Endpoint estuvo en su máxima expresión aquí. Elastic Security for Endpoint no solo proporciona prevención de malware, sino que la tecnología de prevención de comportamiento detuvo el arte del adversario.

Si analizamos el lado de detección de la evaluación, vemos más validación de los casos de uso de Elastic Security. Aquí están algunos ejemplos:

  • Visibilidad. Utilizando Elastic Security, recopilamos la telemetría central que potencia nuestras reglas prediseñadas impulsadas por Elastic Security Labs .
  • Protecciones basadas en memoria. Durante esta evaluación, el equipo rojo utilizó ataques a nivel de memoria y kernel. Las protecciones de memoria de Elastic Security no solo detectaron este comportamiento, sino que también brindaron visibilidad mejorada en la memoria para contextualizar otras alertas.
  • Comportamiento versus detecciones de firmas. Elastic Security tiene un enfoque más conductual para las detecciones. Esto se mencionó anteriormente en la evaluación de prevención, pero incluso en la parte de detección de la evaluación vemos evidencia de esto. Como algunas reglas basadas en firmas condujeron a detecciones "técnicas" (una categoría definida por MITRE Engenuity), las detecciones de comportamiento se destacaron como detecciones basadas en "generales" y "tácticas". Estas alertas fueron impulsadas por aprendizaje automático, reglas basadas en secuencias maliciosas, protecciones de comportamiento de Elastic y más.
 

Y finalmente, algo que no se destacó durante esta evaluación, al centrarse en las detecciones, fue la experiencia de usuario. La experiencia de alertas de Elastic Security proporciona un enfoque simplificado para investigar y correlacionar datos. Nos apoyamos en gran medida en nuestros conocimientos para encontrar alertas y eventos relacionados, proporcionando la información contextual necesaria al analista. Incluso sin una alerta, utilizamos capacidades de visualización como Analizador y Vista de sesión para correlacionar eventos con alertas. Y esta experiencia ha evolucionado aún más desde la evaluación. La siguiente sección profundizará en las funciones agregadas desde que fuimos evaluados.

 

Progreso continuo en las capacidades de prevención y detección.

Elastic Security continúa innovando y mejorando nuestras soluciones de seguridad. En la última evaluación de MITRE Engenuity ATT&CK, fuimos evaluados utilizando Elastic Security 8.7 . Desde entonces, hemos realizado una serie de mejoras en nuestra versión más reciente de Elastic Security, 8.10 , que proporciona capacidades mejoradas de prevención y detección de ataques. Estas mejoras incluyen:

  • Asistente de IA elástica : el nuevo compañero de IA generativa ayuda a los analistas a clasificar e investigar ataques sospechosos de forma más rápida y eficaz. Sintetice detalles de alertas, obtenga sugerencias sobre los próximos pasos, automatice tareas y más, todo dentro de Elastic. 
  • Investigaciones reinventadas: Hemos rediseñado la experiencia de investigación en Elastic Security para que sea más rápida y efectiva para investigar alertas, descartar falsos positivos, determinar la causa raíz y el alcance de los ataques, y responder antes de que se produzcan daños.  
  • Reglas de detección asignadas de MITRE: hemos agregado una serie de reglas nuevas a Elastic Security que muestran la cobertura proporcionada por reglas prediseñadas y personalizadas en tácticas y técnicas inventariadas y ayudan a los profesionales a abordar las brechas mediante detecciones de Elastic Security Labs. 
  • Más protecciones: Hemos agregado una serie de nuevas protecciones a Elastic Security para ayudar a prevenir una gama más amplia de amenazas. Estas protecciones incluyen monitoreo de la integridad de los archivos, monitoreo de procesos y monitoreo del tráfico de red.
  • Acciones de respuesta de endpoints: hemos agregado una serie de nuevas acciones de respuesta de endpoints a Elastic Security for Endpoint. Estas acciones le permiten realizar acciones automatizadas para responder a amenazas, como poner en cuarentena archivos, finalizar procesos y bloquear conexiones de red.
 
Elastic agradece a MITRE Engenuity por la oportunidad de participar en las Evaluaciones Empresariales de ATT&CK. Aprendimos mucho de esta experiencia y estamos comprometidos a continuar mejorando nuestro producto para ayudar a nuestros clientes a protegerse de amenazas avanzadas. 

¿Listo para darle una vuelta a Elastic Security ? ¡ Pruébalo gratis hoy!

Ir al Blog
Contacto en Argentina
Córdoba
José Manuel Isasa 1926
Tel-Fax +54 (351) 5891012
Email: info@linware.com.ar
Ciudad de Buenos Aires
Av. Gaona 4264 1º C
Tel-Fax +54 (11) 60090219
Email: info@linware.com.ar
Síganos en
Copyright © 2020 LINWARE