O nosso fornecedor e líder mundial em soluções de cibersegurança, Sophos, da qual somos Gold Partner, conquistou as classificações mais elevadas nos cenários de ciberataque de ransomware em ambientes Windows e Linux, nas avaliações do MITRE ATT&CK.
Para manter a sua empresa protegida de ciberataques necessita de fornecedores que se mantém atualizados e que priorizam a eficácia das suas soluções de proteção digital. Cada vez mais são recorrentes notícias de ataques cibernéticos como ransomware e roubo de dados em Portugal e no mundo. Temos o recente exemplo do ataque informático à Agência para a Modernização Administrativa (AMA) que afetou os serviços Autenticação.Gov e o Gov.ID.
Neste artigo vamos analisar os resultados que a Sophos obteve nas avaliações MITRE ATT&CK ® para compreender como as suas soluções de segurança podem proteger as necessidades específicas das empresas contra ransomware.
O que é o MITRE ATT&CK 2024 e porque é relevante?
As avaliações MITRE ATT&CK® estão entre os testes de segurança independentes mais respeitados do mundo. Simulam as táticas, técnicas e procedimentos (TTPs) utilizados por grupos de ataques informáticos do mundo real e avaliam a capacidade de cada fornecedor para detetar, analisar e descrever ameaças, com resultados alinhados com a linguagem e a estrutura da Estrutura MITRE ATT&CK®.
Desta forma, as avaliações MITRE ATT&CK® ajudam as organizações a compreender melhor a eficácia das soluções EDR (Extended Detection and Response) e XDR na proteção contra ataques sofisticados e em múltiplas etapas. A avaliação incluiu 80 eventos adversários (sub-etapas) em três cenários de ataque.
Quais os resultados obtidos pela Sophos?
Os resultados recentemente alcançados pela Sophos XDR foram os seguintes:
- As classificações mais altas (technique*) para 100% das atividades dos atacantes nos cenários de ataque de ransomware em Windows e Linux.
- As classificações mais altas (technique*) para 78 de um total de 80 atividades dos atacantes dos cenários RPDC, CL0P e LockBit.
Isto é bastante positivo, sendo que a MITRE divide a sua avaliação em pelas seguintes classificações:
- Não aplicável (Miss): O ataque não foi detetada ou a avaliação da sub-etapa não foi concluída.
- Nenhuma (None): O ataque foi executada com sucesso, mas as evidências apresentadas pelo fornecedor não cumprem os critérios de deteção documentados ou não há evidências de atividade do Red Team.
- Geral (General): A solução identificou automaticamente o evento malicioso/suspeito e reportou o que, onde, quando e quem.
- Tática (Tactic): Além dos critérios de “Geral”, a solução fornece informações sobre a intenção do atacante (o “porquê”), alinhadas às Táticas do MITRE ATT&CK.
- Técnica (Technique*): A classificação mais alta. Além dos critérios de “Tática”, a solução detalha o método usado pelo atacante para atingir o objetivo (o “como”).
As deteções classificadas como Geral, Tática ou Técnica são agrupadas como Cobertura Analítica, medindo a capacidade da solução em transformar dados em deteções acionáveis.
A Sophos alcançou cobertura completa no nível “Técnica” – a classificação mais alta – para 78 das 80 atividades adversárias avaliadas.
Em que grupos de ciberataque são inspiradas estas avaliações?
Uma das rondas da avaliação centrou-se em comportamentos inspirados nos grupos de ameaças abaixo indicados:
- República Popular Democrática da Coreia (RPDC)
A avaliação emulou os comportamentos dos adversários da RPDC que visavam o macOS através de operações em várias fases, incluindo a elevação de privilégios e o roubo de credenciais. - Ransomware (CL0P e LockBit)
A avaliação simulou os comportamentos predominantes nas campanhas que utilizam ransomware CL0P e LockBit, incluindo o abuso de ferramentas legítimas e a desativação de serviços críticos.
A Sophos está empenhada em participar nestas avaliações juntamente com alguns dos melhores fornecedores de segurança da indústria. Como uma comunidade, estamos unidos contra um inimigo comum. Estas avaliações ajudam-nos a melhorar, individual e coletivamente, para o benefício das organizações que defendemos. Participaram nesta avaliação 19 fornecedores de segurança EDR/XDR.
Saiba mais informação sobre cibersegurança nas empresas.
