드디어! 오랫동안 기다려온 2020 년 MITRE ATT&CK 평가 결과가 발표되었습니다. 금번 평가에는 유명한 EPS의 거의 모든 벤더들이 참여하였으며, 이번 발표에 따라 각 제품의 평가 지표 및 해석의 결과가 귀사에 얼마나 유용한지 확인하실수 있습니다. 또 해당 결과에 대한 업계의 다양한 논평을 통해 보다 창의적으로 제시된 추가 지표도 확인할 수 있습니다. 아래에는 SentinelOne의 성과를 이해하기위한 많은 데이터가 있습니다.
MITER Engenuity ATT&CK의 이점은 테스트 데이터가 사전 오픈되고 또 결과에 누구나 공개적으로 접근 할 수 있다는 것입니다. 결과를 투명하게 제공하기 위해 이 게시물에서는 MITER Engenuity가 게시 한 수치와 메트릭에 대해서만 보여드릴 것입니다. 따라서 귀사에서는 필요한 정보를 직접 확인하고 사실과 허구를 분리하여 판단하실 수 있습니다.
SentinelOne의 MITRE 결과
다음은 MITRE Engenuity 의 SentinelOne 평가 스크린 샷입니다 . SentinelOne과 관련하여 다음과 같은 결과를 확인하실 수 있습니다.
- 100 % 가시성 – 174 단계 중 174 단계
- 최고 분석 범위 – 174 단계 중 159 단계
- 제로 지연 수정 자
- 제로 구성 변경 수정 자
위의 메트릭이 효과적인 보안 태세에 얼마나 중요한지 이해하려면 계속 읽으십시오.
최신 ATT & CK 결과는 2021 년 4 월 20 일 화요일에 발표되었습니다. 1 차 ATT & CK 평가 (테스트 첫해)는 APT3 (Gothic Panda)를 기반으로하고 2 차 ATT & CK 평가는 APT29 (Cozy Bear)와 관련된 TTP에 중점을 둡니다. ), 올해의 평가는 금융 위협 그룹을 모방하는 데 중점을 둡니다. 테스트 1 일차는 Carbanak 적대 그룹의 공격 방법론을 시뮬레이션합니다. 그들의 목표는? HR 관리자를 위반하고 조용히 네트워크를 돌아 다니며 지불 데이터를 식별하고 유출합니다. 여기에는 4 대의 Windows 컴퓨터와 Linux 서버가 포함되며 10 단계의 96 개 기술로 구성됩니다. Carbanak 에뮬레이션을 참조하십시오 .
테스트 2 일차는 FIN7 적군을 시뮬레이션합니다. 마찬가지로 그들의 목표는 재무 데이터를 훔치는 것입니다. 이 시뮬레이션에는 5 대의 컴퓨터와 78 개의 기술이 10 단계로 포함됩니다.
2020 MITER Engenuity ATT & CK 평가
웨비나에 참여하여 SentinelOne의 기록적인 결과에 대해 알아보십시오.
우수한 EDR 솔루션의 기반은 다양한 OS 및 클라우드 워크로드에 걸쳐 적절한 SecOps 데이터를 대규모로 소비하면서 프로세스에서 아무것도 놓치지 않는 것입니다. 오늘날 공격의 정교함과 빈도가 증가함에 따라 가시성의 깊이와 폭은 EDR 솔루션이 제공해야하는 기본 기능입니다. 가시성에 공백이 없다는 것은 사각 지대가 없다는 것을 의미하므로 공격자가 탐지되지 않은 상태에서 작동하는 능력이 크게 감소합니다.
완전한 심층 가시성은 가치있는 EDR 솔루션의 테이블 스테이크입니다. 가시성, 침해 방지 기능이 없습니다!
ATT & CK 평가 데이터에서 알 수 있듯이 SentinelOne은 이번 라운드에서 ZERO 미스를 기록했습니다. 우리는 Windows 장치와 Linux 서버에 대한 공격을 100 % 탐지했습니다.
탐지 품질은 왕겨에서 밀을 분리합니다
- SentinelOne은 적의 행동에 대한 즉각적인 자동 통찰력을 제공하기 위해 가장 높은 품질의 분석 탐지 기능을 제공했습니다.
최적의 EDR 솔루션을 결정할 때 탐지 수보다는 분석 탐지 범위 (비 원격 탐지 수)를 고려해야합니다. 일반, 전술 또는 기술 탐지 수가 많으면 놓치는 공격이 줄어들 기 때문에 탐지 품질이 향상됩니다. 고 충실도, 고품질 탐지에 액세스 할 수 있으므로 기업은 주로 오 탐지 일 수있는 데이터를 검색하는 대신 이벤트를 조사하는 데 더 많은 시간을 할애 할 수 있습니다.
ATT & CK 평가에서 “기술”과 “전술”은 데이터 정밀도의 핵심 척도입니다.
-
- 기술 : 관련성 있고 실행 가능한 데이터의 전형 – 스토리를 전달하는 완전히 맥락화 된 데이터 포인트로, 발생한 상황, 발생한 이유, 그리고 결정적으로 어떻게 발생했는지를 나타냅니다.
- 전술 : 계층 구조에서 다음 단계로, 궁극적 인 목표 (지속성, 데이터 유출, 회피 등)를 달성하기위한 행위자의 단계를 알려주는 기술 범주를 나타냅니다. 간단히 말해서 ‘무엇’과 ‘이유’입니다.
이 두 가지 탐지 분류는 MITER ATT & CK 프레임 워크의 핵심이며 컨텍스트를 만드는 데 가장 가치가 있습니다. MITER Engenuity가 발표 한 결과에 따르면,이 평가에 참여한 모든 참가자 중 SentinelOne은 가장 많은 수의 분석 탐지를 기록했습니다.
감지 지연은 치명적입니다
- SentinelOne은 지연 감지가 전혀 없었으며 EDR을 실시간으로 만들었습니다.
시간은 공격을 감지하든 무력화하든 중요한 요소입니다.
MITER Engenuity에 따르면 지연된 탐지는 분석가가 즉시 사용할 수 없습니다. 공격자가 악의적 인 활동을 수행 한 후 몇 분 또는 몇 시간 내에 발생할 수 있습니다.
평가 중 지연된 탐지는 종종 EDR 솔루션이 자체적으로 수행 할 수없는 솔루션으로 인해 의심스러운 활동을 수동으로 확인해야하는 인간 분석가를 필요로 함을 의미합니다. 이 솔루션은 일반적으로 분석 팀 또는 샌드 박스와 같은 타사 서비스에 데이터를 보내야합니다. 그러면 데이터를 분석하고 필요한 경우 고객에게 경고를 보냅니다. 그러나이 프로세스의 많은 중요한 부분은 수동으로 수행되므로 적이 실제 피해를 입힐 수있는 기회가 생깁니다.
고속으로 작동하는 적들은 인간의 고유 한 속도 저하에 영향을받지 않는 기계 속도 자동화로 대응해야합니다.
ATT & CK 평가 데이터에서 알 수 있듯이 SentinelOne은이 평가에서 지연된 탐지가 전혀 없었습니다.
구성 변경으로 취약성 및 확장 문제 강조
- SentinelOne은 구성 변경없이 EDR을 손쉽게 수행 할 수있었습니다.
MITER Engenuity에 따르면 구성 변경은 공급 업체가 초기 구성을 변경했기 때문에 가능한 모든 감지를 의미합니다.
그러나 실제 시나리오에서 SOC 운영자는 특히 진행중인 공격 중에 설정을 사용자 지정할 시간이 없습니다. 제품을 지속적으로 조정, 미세 조정 및 조정하면 전투가 시작되기 전에 패배합니다. 실제로 SOC 운영자는 무엇을 변경해야할지조차 알지 못합니다. 경고가 없으면 구성 변경을 주도하기 위해 무엇을 찾아야할지 알 수 없습니다.
기술 기반 솔루션은 즉각적인 가치 실현 시간을 실현하기 위해 즉시 엔터프라이즈 규모에서 작동해야합니다. SentinelOne Enterprise-Grade EDR은 MITER Engenuity 평가 데이터에서 볼 수 있듯이 몇 초 만에 배포하고 총 용량에서 즉시 작동합니다.
스토리 라인이 점을 자동으로 연결
- SentinelOne은 대상 장치 당 하나의 콘솔 경고를 생성했습니다.
SOC 운영자에게 가장 큰 좌절감에 대해 물어 보면 경고 피로도가 높을 것입니다. 그들은 오 탐지를 헤쳐나 가면서 심각한 위협 지표를 식별하기 위해 끊임없이 노력합니다. EDR 솔루션은 사고 내의 모든 원격 측정에 대해 경고를 받고 이미 부담이있는 SOC 팀을 괴롭히는 대신 개별 데이터 포인트를 결합 된 경고로 자동 그룹화하여 소음이 발생하기 전에 소음을 제거해야합니다.
48 시간의 고급 캠페인에서 수백 개의 데이터 포인트를 통합 한 SentinelOne은 공격을 하나의 완전한 스토리로 연관시키고 구체화하여 대상 시스템 당 단일 경고로 표시했습니다. SentinelOne은 분석가가 로그를 상호 연결하고 이벤트를 수동으로 연결하는 데 몇 시간, 며칠 또는 몇 주를 소비하는 대신 몇 초 내에 즉각적인 통찰력을 제공합니다.
SentinelOne은 필요한 수작업의 양을 줄이고 경고 피로를 완화하며 EDR의 혜택을받는 스킬 셋 장벽을 크게 낮 춥니 다.
결과가 의미하는 바
보안 리더로서 보안 상태를 개선하고 위험을 줄이는 동시에 보안 팀의 부담을 줄이는 방법을 살펴 보는 것이 중요합니다. 평가하는 동안 다음과 같은 EDR 솔루션을 찾으십시오.
- 사각 지대없이 완전한 가시성 제공
- 사람이 데이터를 해석하고 수동으로 연결하는 대신 탐지를 자동으로 연관시킵니다.
- 실시간으로 적을 물리칩니다
- 지속적인 조정없이 예상대로 즉시 작동
- 자동 정리 및 복구를위한 세분화 된 수정 기능 포함
2020 년 ATT & CK 평가에서 SentinelOne의 탁월한 성능은 특별히 설계된 미래 지향적 솔루션이 현대 SOC가 적과 싸우는 데 필요한 심층적 인 가시성, 자동화 및 속도를 제공한다는 것을 다시 한 번 증명합니다. 결과 데이터에서 입증 된 바와 같이 SentinelOne은 가시성과 탐지에 탁월하며, 더욱 중요한 것은 Storyline ™ 기술을 통해 데이터를 완전히 색인화되고 상관 관계가있는 스토리로 자동 매핑 및 상호 연관시키는 데있어 더욱 중요합니다. 이러한 기술 이점은 우리를 시장의 다른 모든 공급 업체와 차별화합니다.