Sophos erzielt bei den MITRE ATT&CK® Evaluations 2024 herausragende Ergebnisse: Enterprise

MITRE ATT&CK® Evaluations helfen Unternehmen und Organisationen dabei, besser zu verstehen, wie EDR- und XDR-Lösungen effektiv vor ausgeklügelten, mehrstufigen Angriffen schützen können. In der jüngsten Bewertung erzielte Sophos XDR:

  • die höchstmögliche Bewertung („Technik“) bei 100 % der Angreifer-Aktivitäten in den Ransomware-Angriffsszenarien unter Windows und Linux
  • die höchstmögliche Bewertung („Technik“) für 78 von 80 Angreifer-Aktivitäten in allen drei umfassenden Szenarien


Evaluation Brief herunterladenMehr zu Sophos XDR erfahren

2024 MITRE ATT&CK Evaluations: Enterprise 3:12

2024 MITRE ATT&CK® Evaluations: Enterprise (Runde 6)

MITRE ATT&CK® Evaluations gehören zu den weltweit angesehensten unabhängigen Sicherheitstests. Sie emulieren die Taktiken, Techniken und Prozesse (TTPs), die von realen Bedrohungsakteuren eingesetzt werden, und bewerten die Fähigkeit der teilnehmenden Anbieter, Bedrohungen zu erkennen, zu analysieren und zu beschreiben. Dabei sind die Ergebnisse an der Terminologie und Struktur des MITRE ATT&CK® Framework ausgerichtet.

In Runde 6 lag der Schwerpunkt auf Verhaltensweisen, die von drei bekannten Bedrohungsgruppen inspiriert wurden:

  • Demokratische Volksrepublik Korea (DVRK) 
    Bei der Evaluierung wurde das Verhalten der DVRK-Angreifer simuliert, die in mehrstufigen Operationen auf macOS abzielen und dabei unter anderem Berechtigungen erhöhen und Zugangsdaten stehlen.
  • Ransomware (CL0P und LockBit) 
    Bei der Evaluierung wurden Verhaltensweisen nachgeahmt, die bei Kampagnen mit der Ransomware CL0P und LockBit vorherrschen. Dazu gehören der Missbrauch legitimer Tools und die Deaktivierung kritischer Dienste.
mitre enterprise 2024 emblem

Evaluierungsergebnisse:

Sophos erzielte eine vollständige „Technik“-Abdeckung und damit die höchstmögliche Bewertung – für 78 von insgesamt 80 Angreifer-Aktivitäten (Teilschritte) bei drei umfassenden Angriffsszenarien.

mitre attack evaluation panels
mitre attack evaluation panels lockbit ransomware
mitre attack evaluation panels
mitre-color-key

Interpretation der Ergebnisse der ATT&CK Evaluations

InformierenSie sich über die Bewertungen und Kategorisierungen in dieser Enterprise-Runde.

Interpretation der Ergebnisse der ATT&CK Evaluations

detections-key

Jede von MITRE während der Evaluierung emulierte Angreifer-Aktivität (als „Teilschritt“ bezeichnet) erhält eine der folgenden Bewertungen. Die Bewertung gibt die Fähigkeit der Lösung an, die Angreifer-Aktivität zu erkennen, zu analysieren und zu beschreiben, wobei die Ergebnisse an der Sprache und Struktur des MITRE ATT&CK® Frameworks ausgerichtet sind.

  • Nicht zutreffend  – es wurde nichts erkannt: Die Angreifer-Aktivität wurde nicht erkannt oder die Evaluierung für den Teilschritt wurde nicht abgeschlossen.
     
  • Keine: Die Ausführung des Teilschritts war erfolgreich. Der Nachweis des Anbieters erfüllt jedoch nicht die dokumentierten Erkennungskriterien oder es wurden keine Nachweise für die Aktivität des Red Teams vorgelegt. Bei einem „Keine“-Ergebnis sind keine Modifikatoren, Notizen oder Screenshots enthalten.
     
  • Allgemein: Die Lösung erkannte autonom das Auftreten des schädlichen/verdächtigen Ereignisses und meldete das was, wo, wann und wer.
     
  • Taktik: Die Lösung erfüllt nicht nur die Kriterien für die Bewertung „Allgemein“, sondern liefert auch Informationen über die möglichen Absichten des Angreifers: das Warum, das sich an den MITRE ATT&CK®-Taktiken orientiert.
     
  • Technik  – die höchstmögliche Bewertung: Die Lösung erfüllt nicht nur die Kriterien für eine „Taktik“-Bewertung, sondern liefert auch Details zur Vorgehensweise des Angreifers, d. h. dazu, wie die Aktion durchgeführt wurde.
     

Als „Allgemein“, „Taktik“ oder „Technik“ klassifizierte Erkennungen werden unter der Definition Analytic Coverage gruppiert. Dabei handelt es sich um ein Maß für die Fähigkeit der Lösung, Telemetriedaten in verwertbare Bedrohungserkennungen umzuwandeln.

Sophos erzielte eine vollständige „Technik“-Abdeckung und damit die höchstmögliche Bewertung – für 78 von insgesamt 80 Angreifer-Aktivitäten (Teilschritte) in dieser Evaluierung.

Weitere Informationen zu den Erkennungskategorien finden Sie auf der MITRE-Website

Die Erkennungsqualität ist entscheidend, um Sicherheitsanalysten die Informationen zur Verfügung zu stellen, die sie für eine schnelle und effiziente Analyse und Reaktion benötigen. Im folgenden Diagramm wird für jeden teilnehmenden Anbieter die Anzahl der Teilschritte, die eine Erkennung mit vielen Details über das gegnerische Verhalten lieferten („Analytic Coverage“), mit der Anzahl der Teilschritte verglichen, die eine vollständige „Technik“-Abdeckung erreichten.

MITRE Engenuity nimmt kein Ranking und keine Bewertung der Teilnehmenden von ATT&CK Evaluations vor.

 

Evaluation Brief herunterladen

Angriffsszenarien im Rahmen der Evaluierung

Die Evaluierung umfasste 80 Angriffsereignisse (Teilschritte) bei drei Angriffsszenarien.

Angriffsszenario 1: DPRK (macOS)

Nordkorea hat sich zu einer ernstzunehmenden Cyberbedrohung entwickelt. Da das Land jetzt auch macOS ins Visier genommen hat, kann es noch mehr Ziele angreifen und infiltrieren. In diesem Angriffsszenario nutzte das MITRE-Team eine Backdoor von einem Supply-Chain-Angriff, gefolgt von Persistenz, Erfassung und Zugriff auf Zugangsdaten, was zur Sammlung und Exfiltration von Systeminformationen und macOS-Keychain-Dateien führte.

  • 4 Schritte | 21 Teilschritte | nur macOS
  • Sophos XDR erkannte 20 von 21 Teilschritten (95 % 1) in diesem Szenario und erzielte eine umfassende „Analytic Coverage“
  • 19 Teilschritte wurden der Kategorie „Technik“ zugewiesen – der höchstmöglichen Bewertung

Die vollständigen Ergebnisse dieses Szenarios finden Sie auf der MITRE-Website
 

scenario 1 flowchart icons
scenario-dprk-95
scenario 2 flow chart icons
scenario-clop

Angriffsszenario 2: CL0P-Ransomware (Windows)

CL0P ist eine seit mindestens 2019 aktive Ransomware-Familie, die mit dem Cyberkriminellen TA505 (auch bekannt als Snakefly) in Verbindung steht und weithin von russischsprachigen Gruppen betrieben wird. Bei diesem Angriffsszenario verwendete das MITRE-Team Umgehungstechniken, Persistenz und speicherinterne Payloads ein. Vor der Ausführung der Ransomware erfolgten zunächst Auskundschaften und Exfiltration.

  • 4 Schritte | 19 Teilschritte | nur Windows
  • Sophos XDR erkannte 100 % der Teilschritte in diesem Szenario und erzielte eine vollständige „Technik“-Abdeckung

Die vollständigen Ergebnisse dieses Szenarios finden Sie auf der MITRE-Website

Angriffsszenario 3: LockBit-Ransomware
(Windows und Linux)

LockBit ist eine berüchtigte Ransomware-Variante, die als Ransomware-as-a-Service (RaaS) betrieben wird. Sie ist vor allem für ihre ausgefeilten Tools, Erpressungsmethoden und hochgradig gefährlichen Angriffe bekannt. Bei diesem Angriffsszenario verschaffte sich das MITRE-Team über kompromittierte Zugangsdaten Zugriff und implementierte schließlich ein Exfiltrationstool und Ransomware, um virtuelle Maschinen zu stoppen und Dateien zu exfiltrieren und zu verschlüsseln.

  • 8 Schritte | 40 Teilschritte | Windows und Linux
  • Sophos XDR erkannte 100 % der Teilschritte in diesem Szenario und erzielte eine vollständige „Technik“-Abdeckung

Die vollständigen Ergebnisse dieses Szenarios finden Sie auf der MITRE-Website

scenario 3 flowchart icons
scenario-lockbit

1 Sophos XDR generierte für alle 80 Angreifer-Aktivitäten (Teilschritte) in der Evaluierung Warnmeldungen und erzielte eine „Analytic Coverage“ bei 79 von 80 Teilschritten.
Die für einen Teilschritt im DVRK-Angriffsszenario (macOS) generierte Warnmeldung erreichte basierend auf den MITRE-Definitionen für Erkennungskategorien nicht die „Analytic Coverage“-Erkennungsstufe.

Warum wir an MITRE ATT&CK® Evaluations teilnehmen

Die MITRE ATT&CK® Evaluations gehören zu den weltweit angesehensten unabhängigen Sicherheitstests. Sophos hat sich verpflichtet, gemeinsam mit einigen der besten Sicherheitsanbieter der Branche an diesen Evaluierungen teilzunehmen. Wir sind eine Gemeinschaft, die in vereinter Front gegen einen gemeinsamen Feind kämpft. Dank dieser Bewertungen werden wir individuell und kollektiv besser. Davon profitieren insbesondere auch die Unternehmen, die wir schützen.

19 EDR/XDR-Sicherheitsanbieter nahmen an dieser Evaluierung teil:

vendor logos in a grid layout

Weitere MITRE ATT&CK® Evaluations

Sophos nimmt an ATT&CK® Evaluations für Enterprise-Lösungen und Managed Services teil und erzielt konstant beeindruckende Ergebnisse, die unsere Position als branchenführender Cybersecurity-Anbieter bestätigen.

Marktführender Anbieter von Detection- und Response-Lösungen

Erste Schritte mit Sophos XDR

Erfahren Sie, wie Sie mit Sophos Ihre Erkennung und Reaktion optimieren und bessere Cybersecurity-Ergebnisse erzielen.

Mehr zu Sophos XDR erfahren