Cortex XDR

Cortex XDR: лучшее решение по общему показателю предотвращения и обнаружения угроз в третьем раунде MITRE ATT&CK Evaluations

Согласно результатам третьего тестирования MITRE ATT&CK, Cortex XDR обеспечил защиту от угроз 100% и детектирование атак 97%. Испытания MITRE ATT&CK Evaluations имитируют реальные атаки самых изощренных APT-группировок в мире и оценивают возможности ведущих СЗИ по обнаружению этих атак

Подробный разбор результатов MITRE ATT&CK Evaluations 2020/2021

Организация MITRE Engenuity опубликовала результаты последнего испытания MITRE ATT&CK Evaluations, в котором приняли участие 29 вендоров. Защитные возможности их продуктов тестировались на тактиках, техниках и процедурах (TTP) киберпреступных группировок Carbanak и FIN7. Согласно этим результатам, Cortex XDR снова показал высокую эффективность защиты против APT-группировок.

Показатель обнаружения в третьем раунде MITRE ATT&CK Evaluations

MITRE Engenuity оценивает не то, какими возможностями обладают решения, а то, каким образом эти решения обнаруживают угрозы. Для этого детекты классифицируются в зависимости от качества и соотносятся с техниками атаки. Одной технике может соответствовать более одного детекта, если защитное решение обнаружило ее разными способами. Затем на основании всех зафиксированных детектов рассчитываются конечные результаты.

Результаты Cortex XDR в испытаниях против атак Carbanak и FIN7

Figure 1. Cortex XDR had the highest combined protection and detection results in the evaluation. *Note: Data and charts based on MITRE results minus detections with a “Configuration Change” modifier.
Рисунок 1. Cortex XDR лидирует по общему показателю предотвращения и обнаружения угроз.
*Примечание. Данные и графики основаны на результатах MITRE без учета детектов с изменением конфигурации.

Решение Palo Alto Networks повторило успех прошлого года и снова получило высокие оценки в тестировании. Ключевые результаты Cortex XDR в испытаниях против TTP Carbanak и FIN7:

  • Заблокировано 100% атак в испытаниях по предотвращению угроз на конечных точках Windows и Linux.
  • Качество мониторинга техник атаки составило 97%: наилучший показатель обнаружения среди решений, которые также получили максимальную оценку за предотвращение угроз.
  • Cortex XDR выявил 86% техник, причем это были качественные аналитические детекты. Согласно определению MITRE, это такие детекты, которые предоставляют не только телеметрические данные, но и создают дополнительный контекст событий. 80% аналитических детектов были уровня Техника, которые в рамках тестирования оценивались наиболее высоко.
  • Самый высокий общий показатель обнаружения и защиты среди всех вендоров.

Результаты ATT&CK подтверждают стремление Palo Alto Networks предоставить своим заказчикам качественный продукт, который предотвратит все возможные угрозы и обеспечит защиту от наиболее опасных злоумышленников. Как правило, APT-группировки используют для атак системные утилиты и легитимно установленные приложения, поэтому главная задача Cortex XDR — точно выявлять и сопоставлять факты эксплуатации этих приложений и не блокировать при этом легитимные действия.

Третий раунд испытаний MITRE ATT&CK включал две новые опциональные проверки: тестирование выявления атак в среде Linux, а также проверка возможностей по предотвращения атак, в которой оценивались возможности СЗИ блокировать атаки на конечных точках Windows и Linux. Решение Palo Alto Networks было протестировано в обеих проверках, поскольку обладает эффективными технологиями для предотвращения угроз и обширным функционалом защиты для конечных точек на Linux. В результате оно смогло заблокировать все атаки на Linux и Windows и при этом выдало наибольшее количество детектов и их лучшее качество среди остальных вендоров с предотвращением угроз 100%.

Figure 2. Cortex XDR blocked 100% of attacks in the protection phase against both Linux and Windows.
Рисунок 2. Cortex XDR заблокировал 100% атак в испытаниях по защите конечных точек на Linux и Windows.
Figure 3. Cortex XDR provided the second highest visibility overall and the highest of any vendor with a perfect protection score.
Рисунок 3. Cortex XDR занял первое место по уровню мониторинга среди продуктов с показателем защиты 100% и второе место среди всех защитных решений, участвовавших в испытаниях.
Figure 4. 80% of attacks identified with the highest possible technique-level detection score.
Рисунок 4. 80% всех детектов получили статус Техника — самый качественный тип детектов.

Cortex XDR смог не только предотвратить все атаки в новых проверках возможностей защиты, но и использовал данные логов с межсетевых экранов (МСЭ) нового поколения Palo Alto Networks, благодаря чему повысил точность обнаружения. Таким образом, подробная информация о приложении, пользователе и контенте, полученная из логов МСЭ, улучшила аналитические возможности решения. Cortex XDR собирает и интегрирует сведения о конечных точках и сети, что обеспечивает глубокий мониторинг за данными приложений.

Figure 5. Cortex XDR stitches together network and endpoint data to provide additional details, such as the App-ID “msrpc-base” for a network connection shown above, so that analysts get a complete picture of an attack.
Рисунок 5. Cortex XDR объединяет данные о сети и конечных точках, благодаря чему аналитики получают больше информации для представления полной картины атаки, например, App-ID приложения msrpc-base для сетевого подключения, показанного выше.

Детальный мониторинг с расширенными возможностями обнаружения и реагирования

Хотя в третьем раунде испытаний решениям позволяли анализировать данные о сети, особое внимание MITRE Engenuity уделила атакам на конечные точки. Чаще всего злоумышленники взламывают управляемые конечные точки, однако могут атаковать и неуправляемые, а также облачные приложения и даже сетевое оборудование и средства защиты. Поэтому службам ИБ необходимо реализовать комплексный подход, который не ограничивается рамками традиционных EDR-решений и позволяет вести мониторинг в масштабе всей организации.

Cortex XDR дает заказчикам возможность блокировать современные атаки, задействуя ИИ и аналитику логов с облачных активов, конечных точек и сетевых устройств. Этот продукт показал исключительные результаты в тестировании благодаря комбинации обогащенных данных и поведенческой аналитики. Более того, решение смогло предотвратить атаки группировки SolarStorm и обнаружить присутствие злоумышленников из HAFNIUM до того, как информация об этих киберпреступниках появилась в СМИ.

Чтобы больше узнать об атаках, которые имитировались в испытаниях, а также о лучших технологиях для обнаружения вредоносных техник и защиты от угроз, закажите демо и тестирование Cortex XDR по ссылке ниже.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/