Anbieter von Sicherheitslösungen versprechen viel, aber halten sie es auch? Antworten auf diese Frage können nur unabhängige Tests wie die „MITRE ATT&Ck Cybersecurity Evaluations“ geben. Der vorliegende Leitfaden erklärt die Methodologie der Tests im Bereich Endpoint Detection and Response (EDR) und hilft bei der Interpretation der Ergebnisse.
Inhalt:
Obwohl erst 2019 gestartet haben sich die MITRE ATT&CK Cybersecurity Evaluations schnell zu den nützlichsten objektiven Tests für Endpoint Detection and Response (EDR)-Lösungen entwickelt. Sie liefern eine Fülle von Informationen über die Effizienz von Tools, indem sie deren Erkennungs- und Korrelationsfähigkeiten methodisch gegen die Angriffssequenzen realer Angreifer testen. Die zweite Runde des MITRE ATT&CK-Tests, die im April 2020 veröffentlicht wurde, bewertete ein viel breiteres Feld von Anbietern als die erste, was Sicherheitsentscheidern einen umfassenden Überblick über die Leistungsfähigkeit von Endpoint-Security-Anbietern bietet.
Das vorliegenden Dokument stellt die Ergebnisse des Tests vor und hilft Ihnen bei deren Interpretation. Sie erfahren Details über die zugrundeliegende Methodologie und erhalten Tipps, wie Sie Antworten auf Ihre ganz persönlichen Fragestellung zum EDR-Lösungen bekommen. Der Guide sagt Ihnen aber auch, was der MITRE ATT&CK nicht verrät.
Originalauszug aus dem Dokument:
Managed Services
SecOps teams are structured in all kinds of different ways. A recent study by Forrester Consulting showed that more than half of companies lack a formal security operations center (SOC), and even those that have one often outsource some functions, including detection, response, and threat hunting. In this test, detections with the “MSSP” label were generally delivered by the vendors’ managed detection and response (MDR) or managed threat hunting (MTH) teams. If your organization doesn’t have sufficient expert resources to dedicate to threat hunting and you’re considering working with a partner, “MSSP” detections are worth taking a look at, as the MITRE evaluation revealed a wide variance in the efficacy of vendors’ services. Adding up and/or comparing the real-time detections (which are delivered by the tool) and the MSSP detections (which are delivered by a service) will give you a feel for how different delivery models may fit with your organization’s needs.
The Cortex XDR Managed Threat Hunting service was still in beta during the MITRE APT29 evaluation, yet it had a very strong showing with 100 detections (see figure 8), none of which were linked to any configuration changes.