A medida que los ciberataques crecen en volumen y sofisticación, y la brecha de habilidades en ciberseguridad se amplía, muchas organizaciones están recurriendo a servicios de Detección y Respuesta Gestionadas (MDR). Pero encontrar el proveedor de MDR adecuado puede ser un verdadero desafío. ¿Cómo saber si pueden mantenerse al día con las sofisticadas amenazas cibernéticas actuales? Ahí es donde entran las evaluaciones MITRE, que ayudan a las organizaciones a tomar decisiones más inteligentes al proporcionar información valiosa sobre los servicios gestionados de once proveedores diferentes. Continúe leyendo mientras revisamos los factores clave que pueden ayudarlo a tomar la mejor decisión para sus necesidades de ciberseguridad.

Dentro de las evaluaciones MITRE ATT&CK® para servicios gestionados

Las evaluaciones MITRE Engenuity ATT&CK ® de este año utilizaron ataques multiproceso para evaluar a cada proveedor participante. El primero imitaba las tácticas y técnicas de ataque del grupo cibercriminal menuPass. Son conocidos por apuntar a diversas industrias a nivel mundial, con especial atención al robo de información confidencial, como propiedad intelectual. Los ataques son conocidos por explotar técnicas de vida de la tierra para evitar la detección y aprovechar las relaciones con terceros para robar credenciales.

El segundo utilizó el ransomware BlackCat escrito en lenguaje RUST. El ransomware es independiente del sistema operativo y puede atacar sistemas Windows y Linux en múltiples industrias. BlackCat está diseñado para alterar las defensas del sistema, cifrar datos y obstruir los procesos de recuperación. Ambos escenarios representan ejemplos adecuados de los tipos de ataques dirigidos a las empresas modernas.

Los resultados

Si bien lograr un desempeño sólido en las evaluaciones MITRE MDR es sin duda un motivo de orgullo para nosotros, una sola puntuación no puede capturar toda la historia. Estas evaluaciones son valiosas porque profundizan en una variedad de métricas interconectadas, proporcionando una imagen más matizada de las capacidades de un proveedor. Sin embargo, es importante considerar los datos en contexto, ya que algunos proveedores pueden optar por centrarse en métricas específicas para su beneficio.

Aquí, analizaremos las métricas clave de nuestra evaluación de Servicios Administrados MITRE y explicaremos lo que significan para usted. También exploraremos algunos de los aspectos cualitativos, como el estilo de presentación de informes, que se pueden extraer de las comunicaciones de los proveedores proporcionadas por MITRE. Este enfoque le ayudará a comprender cómo nuestro rendimiento se traduce en sus necesidades de seguridad específicas.

FIGURA 1: La tabla muestra los resultados de todos los proveedores en las categorías evaluadas.

Verlo todo

La evaluación MITRE evalúa la solución MDR de un proveedor a través de una serie de 43 subpasos, que representan varias etapas dentro de las tácticas y técnicas del atacante. Hay tres niveles clave medidos para cada subpaso:

1. Visibilidad: esto determina si la solución del proveedor puede recopilar datos suficientes para identificar que ocurrió un subpaso en particular. Es esencialmente una prueba de la capacidad de la plataforma para ver la actividad del atacante.

• Cobertura del 100%:  logramos una puntuación perfecta en Visibilidad, lo que indica que nuestra solución puede recopilar datos de manera efectiva para identificar los 43 subpasos dentro de las tácticas y técnicas del atacante. Esta es una demostración sólida que demuestra la capacidad de nuestra plataforma para "ver" la actividad de los atacantes en todo el espectro de evaluación.

2. Reportado (no procesable): Aquí la evaluación va más allá de la simple detección de la actividad. Comprueba si el proveedor no sólo puede identificar el subpaso sino también informarlo. Sin embargo, este informe puede carecer de detalles o contexto específicos, lo que dificulta la adopción de medidas inmediatas.

• Cobertura del 95%: Nuestro puntaje aquí también es impresionante, superando el promedio del 80% de cobertura. Esto significa que nuestra solución no sólo puede identificar la mayoría de los subpasos (41 de 43), sino también informarlos. Si bien estos informes pueden carecer de detalles específicos, resaltan nuestra fortaleza para detectar actividades sospechosas.

3. Reportado (procesable): Este es el escenario ideal. El proveedor no sólo detecta e informa el subpaso, sino que también proporciona información adicional como marcas de tiempo, ubicaciones, usuarios involucrados y la naturaleza de la actividad. Este contexto más rico permite una respuesta más informada y eficaz.

• Cobertura del 93%:  Estamos orgullosos de anunciar que logramos el puntaje más alto en "Reportado - procesable" en comparación con el promedio del 65%. Esta puntuación significa nuestra capacidad excepcional no solo para detectar e informar subpasos, sino también para proporcionar el contexto más valioso, incluidas marcas de tiempo, ubicaciones, usuarios involucrados y la naturaleza de la actividad. Esto permite a su equipo de seguridad tomar medidas rápidas y decisivas para mitigar las amenazas.

Una vez establecida nuestra sólida base en la detección de la actividad de los atacantes, exploremos ahora con qué eficiencia traducimos la detección en acción. Aquí es donde entra en juego el tiempo medio de detección (MTTD).

Respuesta rápida, decisiones informadas

El tiempo medio de detección (MTTD) mide el tiempo promedio que le toma a un proveedor de seguridad identificar y alertar sobre la posible actividad de un atacante. Un MTTD más bajo generalmente indica capacidades de detección y respuesta más rápidas. El MTTD promedio de Bitdefender fue de 24 minutos, significativamente más rápido que el tiempo de respuesta promedio de 42 minutos.

Nuestro objetivo es lograr un equilibrio entre la detección oportuna y minimizar el ruido innecesario. Priorizamos la entrega de alertas de alta fidelidad que brindan información procesable, lo que permite que su equipo de seguridad responda de manera eficiente a amenazas genuinas. Es importante considerar el MTTD junto con otras métricas, en particular el volumen de alertas generadas (o ruido).

Minimizar el ruido para lograr la máxima eficiencia

Un aspecto crítico de cualquier solución MDR es su capacidad para distinguir entre amenazas genuinas y ruido irrelevante. Los equipos de seguridad suelen verse bombardeados con una abrumadora cantidad de alertas, lo que dificulta centrarse en los problemas más críticos.

En las evaluaciones de MITRE MDR, el equipo de Bitdefender MDR priorizó un equilibrio entre minimizar el ruido y mantener una alta fidelidad de alerta. Mientras que algunos proveedores generaron volúmenes de alertas de cientos o incluso miles, Bitdefender MDR produjo una cantidad significativamente menor de alertas en comparación con el promedio de la industria (130 correos electrónicos y 389 alertas de consola).

Esto es lo que esto significa para usted:

• Reducción de la fatiga de las alertas: nuestra solución ayuda a los equipos de seguridad a evitar la sobrecarga de información al presentar un volumen menor de alertas (54 correos electrónicos y 28 alertas de consola). Esto les permite centrar su atención en las amenazas más importantes.
• Priorizar eventos de alta gravedad: nuestro enfoque en la fidelidad garantiza que una parte importante de nuestras alertas (77% de los correos electrónicos) se clasifiquen como críticas o de alta gravedad, lo que garantiza que los equipos de seguridad puedan priorizar las amenazas más impactantes.
• Información útil: cantidad no equivale a calidad. Priorizamos brindar información clara y concisa dentro de cada alerta, lo que permite a los equipos de seguridad tomar medidas decisivas para mitigar las amenazas identificadas.

Conclusión

La evaluación MITRE MDR muestra las fortalezas de Bitdefender MDR: detección de amenazas excepcional, información procesable (la más alta entre los participantes para "Reportado-procesable") y un compromiso para minimizar la fatiga de alerta. Esto se traduce en una potente solución que permite a los equipos de seguridad centrarse en lo más importante: responder eficazmente a amenazas genuinas y mantener seguras a las organizaciones.

FIGURA 2: Bitdefender MDR logró la puntuación más alta de capacidad de acción manteniendo el ruido al mínimo

¿Querer aprender más? ¡Sumérgete más profundamente con los propios expertos! Únase a nuestro próximo seminario web con analistas de SOC e investigadores de seguridad de Bitdefender el miércoles 26 de junio de 2024 a las 10:00 a. m. EST. Analizarán las evaluaciones de MITRE MDR, discutirán nuestros resultados en detalle y responderán cualquier pregunta que tenga sobre nuestro enfoque de MDR. Se trata de una inmersión técnica profunda (no un evento de marketing) y una oportunidad de aprender directamente desde las primeras líneas de detección y respuesta a amenazas.

 

Fuente: Bitdefender Central.