Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Mariana Betancourt Duque

FortiEDR se destaca en las evaluaciones ATT y CK de MITRE Engenuity

MITRE Engenuity publicó los resultados de la evaluación ATT & CK en abril para nuestra moderna solución de seguridad de terminales que combina la plataforma de protección de terminales (EPP) con las capacidades de detección y respuesta de terminales (EDR), FortiEDR .


En resumen, los resultados de Fortinet demostraron una sólida detección basada en el comportamiento de las técnicas y tácticas de ataque emuladas de Carbanak y FIN7 y, lo que es más importante, una protección independiente de firmas que bloqueó el 100% de los casos de prueba. Esto significa que los ataques cibernéticos futuros que utilicen tácticas y técnicas similares serán bloqueados, incluso si no tenemos inteligencia de amenazas preexistente sobre ellos.


Desde su inicio, FortiEDR adoptó un enfoque único para el monitoreo profundo de la actividad del sistema. Patentamos este enfoque, llamado "seguimiento de código" y se mostró en los resultados de la evaluación. Desde el principio, nuestros investigadores de amenazas reconocieron que las amenazas avanzadas violarán una o más instrucciones legítimas del sistema operativo para permanecer sigilosas y discretas.


Además, al correlacionar la comunicación saliente del sistema operativo o las instrucciones de modificación de archivos con el flujo de instrucciones del sistema operativo anterior, es posible detectar y, de hecho, prevenir acciones maliciosas en tiempo real. Y hacerlo con precisión para que el funcionamiento legítimo pueda continuar como de costumbre.

Como resultado, durante las evaluaciones de MITRE ATT & CK , FortiEDR pudo observar las tácticas y técnicas emuladas hasta que alcanzó un nivel de confianza lo suficientemente alto como para dar el paso activo de bloquear la actividad antes de que el ataque cibernético alcanzara el resultado previsto.


Dado que los ciberdelincuentes sofisticados a menudo se esfuerzan mucho por imitar el funcionamiento legítimo del sistema para evitar la detección, la detección detallada que genera mucho ruido y el bloqueo de mano dura que se realiza demasiado pronto en el ataque puede obtener una puntuación alta en la evaluación, pero en una entorno de producción, también conducirá a efectos inaceptables tanto en el sistema como en los usuarios en términos de falsos positivos. Al comparar los resultados de nuestra evaluación con los de otros proveedores que participaron, la diferenciación de FortiEDR quedó clara.

FortiEDR se destaca entre el resto.

Como ejemplo del desempeño de FortiEDR, considere la Prueba de protección 5, que se basa en el Paso 9 y sus subpasos en la categoría Detección. En esta prueba :

  • Un programa, DefenderUpgradeExec.exe, se descarga y llama a la API SetWindowsHookEx. Como esta es una actividad que a menudo se exhibe por una operación legítima, FortiEDR registra una detección pero no la bloquea.

  • A continuación, Java-Update.exe inyecta explorer.exe con CreateRemoteThread, que a su vez llama a la API CreateCompatibleBitmap. Este programa crea una captura de pantalla que se guarda en el archivo temporal. Esta acción se registra en la categoría Detección, pero MITRE no la incluyó en la Evaluación de protección.

  • A partir de ahí, explorer.exe lo lee en una IP externa 192.168.0.4. Se descarga un archivo infosMin48.exe desde la misma dirección IP. Como el archivo aún no ha mostrado ningún comportamiento, se puede instalar.

  • Este archivo llama a la API VaultEnumerateItems desde vaultcli.dll, que intenta volcar las credenciales fuera del directorio. Es en este punto que la actividad se considera definitivamente maliciosa y se bloquea en función del comportamiento.

  • Es de destacar que el archivo habría eliminado la evidencia del robo de credenciales si se hubiera permitido que se ejecutara más.

Curiosamente, este caso de prueba en particular fue manejado de manera muy diferente por otros proveedores. Sin llamar a ningún proveedor en particular, observamos que un grupo de proveedores utilizó la inteligencia de amenazas existente para bloquear la descarga de la herramienta inicial DefenderUpgradeExec.exe, que sería completamente desconocida en un escenario realista de 0 días.


Vemos varios comentarios de MITRE, como “infosmin48.exe fue puesto en cuarentena, porque fue identificado como malicioso” o “fue identificado como malware keylogger” que aclaran esto.

El principal inconveniente de este enfoque es que requiere un conocimiento previo del archivo o familia de archivos para detener el ataque. Para una campaña conocida como Carbanak, se espera ese conocimiento, pero para las campañas posteriores que utilizan el mismo conjunto de técnicas, no sería tan efectivo. Y si sigue los mismos pasos en la Evaluación de detección, puede ver que, aunque hay alguna detección basada en el comportamiento para algunos pasos, está separada del enfoque de protección.

Otro grupo de proveedores que participó en la Evaluación de protección no pudo bloquear el ataque en absoluto a pesar de haber identificado la actividad utilizando información valiosa sobre tácticas y técnicas durante la Evaluación de detección. Este resultado es común entre las empresas emergentes de EDR que luego agregaron lo que denominan capacidades de protección.

Comparamos los resultados de protección de FortiEDR con dos proveedores de EPP heredados y dos empresas emergentes de EDR para ver qué tendencias surgieron. Lo que encontramos fue:

  • Una de las principales marcas de EDR realmente aplicó su capacidad de detección de comportamiento a las pruebas de protección, pero solo detuvo el 70% de los casos de prueba.

  • La otra puesta en marcha de EDR bloqueó el 90% de los casos de prueba, pero se basó en gran medida en el análisis estático en lugar del comportamiento.

  • Ambos proveedores de EPP heredados bloquearon el 100% de los casos de prueba, pero lo hicieron en gran parte basándose en inteligencia de amenazas conocida.

Solo FortiEDR demostró la capacidad no solo de bloquear todos los ciberataques emulados en las pruebas de Protección, sino también de hacerlo sin utilizar ninguna inteligencia de amenazas conocida.

A medida que las organizaciones se dispusieron a seleccionar nuevas soluciones de seguridad para endpoints, estos resultados resaltan la importancia de definir claramente sus requisitos (detección, protección o ambos), así como de probarlos rigurosamente. Es una razón por la que la validación independiente como las evaluaciones MITRE Engenuity AT&CK es tan importante.

Conclusión de MITRE ATT & CK

En retrospectiva, al evaluar los resultados de nuestra evaluación de protección y detección frente a nuestras propias expectativas y los resultados de otros proveedores de la industria, estamos más orgullosos que nunca de FortiEDR. Es una verdadera solución de EPP y EDR de agente único y basada en el comportamiento con nuestra innovación de rastreo de código patentada que proporciona:

  • Protección previa y posterior a la ejecución en tiempo real

  • Detección robusta de actividad de alto valor y en riesgo, sin abrumar a los equipos de seguridad

  • Un enfoque unificado de protección, detección y respuesta


Estos resultados deberían reforzar aún más la confianza de los clientes y prospectos en la capacidad de FortiEDR para identificar y, en última instancia, bloquear futuros ciberataques que utilizan tácticas y técnicas similares a las emuladas en las pruebas de evaluaciones de protección MITRE. Esperamos poder demostrar estas capacidades en su entorno específico. Para comprender mejor cómo logramos esa evaluación de protección perfecta, consulte los resultados de nuestra evaluación .

Para ver FortiEDR en funcionamiento en nuestro entorno o en el suyo, contáctenos para una demostración o prueba de valor sin cargo.

Obtenga más información sobre cómo FortiEDR tiene la capacidad única de desactivar y desarmar una amenaza en tiempo real, antes y después de la infección.



Autor: David Finger

Fuente: https://www.fortinet.com/blog/business-and-technology/FortiEDR-stands-out-in-mitre-engenuitys-attck-evaluations

7 vistas0 comentarios

Entradas Recientes

Ver todo