Plataforma de segurança no endpoint é aprovada em
todos os testes – um dos mais relevantes do setor – pelo quarto ano consecutivo
A SentinelOne acaba de ser mais uma aprovada na avaliação MITRE Engenuity ATT&CK, conduzida pela fundação que leva o mesmo nome. Os resultados foram divulgados na última quarta-feira (20) e mais de 30 soluções diferentes para proteção de endpoint, com foco em detecção e resposta (EDR) foram testadas.
Na avaliação deste ano, o instituto realizou a emulação de um grupo hacker denominado Turla, com sede na Rússia. Semelhante às rodadas anteriores, o MITRE Engenuity executou vários cenários de ataque ao longo da avaliação.
Cenário de ataque 1: “Carbono”
O primeiro dia de testes, intitulado “Carbono”, consistiu em uma campanha de ataque multicamadas visando a infraestrutura Windows e Linux. O ataque começa com um email de spearfishing: um instalador de software falso é baixado na máquina da vítima, e então um backdoor, denominado Epic, é descarregado. Em seguida, uma comunicação do tipo C2 é estabelecida (que permite que criminosos se conectem a máquinas infectadas). Na sequência, um controlador de domínio é encontrado e as DLLs do malware são descarregadas na rede da vítima. O final é um ataque de tipo “watering hole” ao ambiente.
Cenário de ataque 2: “Snake”
O cenário do segundo dia, intitulado “Snake”, emulou um ataque a uma organização hipotética com foco na exploração do kernel e do Microsoft Exchange que mais uma vez aproveitou o Epic, bem como o Snake, uma ferramenta usada para coleta de inteligência de longo prazo em alvos sensíveis e considerada uma das ferramentas de espionagem cibernética mais sofisticadas atualmente em uso, e LightNeuron, um backdoor sofisticado usado para atingir servidores Microsoft Exchange.
Dentro desse cenário, os resultados da SentinelOne foram os seguintes:
- 100% de proteção – bloqueou 13 das 13 etapas de proteção
- 100% de detecção – detectou 18 das 18 etapas de detecção
- 100% em tempo real – zero detecções atrasadas
- 100% realista – zero alterações de configuração
- 96% de visibilidade nas subetapas do ataque
A plataforma Singularity detectou e bloqueou todas as fases do ataque Turla sem atrasos e sem reconfigurações irrealistas ou recursos adicionais.
Detecção e proteção completas, em tempo real
O trabalho da SentinelOne é proteger todas as empresas, independentemente do tamanho ou do setor. A plataforma SentinelOne Singularity detectou e bloqueou com sucesso todas as etapas da avaliação, destacando nossa capacidade de proteção contra ameaças complexas e evasivas, como as realizadas pelo grupo Turla.
Ataques complexos podem passar do acesso inicial ao comprometimento de credenciais, movimentação lateral, criptografia de dados e extorsão em questão de minutos. Não há tempo para esperar analistas humanos, resultados de sandbox ou fluxos de trabalho manuais. Não há chance de uma nova tentativa no mundo real, como acontece nos testes compartimentados.
A plataforma SentinelOne oferece proteção autônoma e abrangente sem qualquer tipo de atraso. Ao contrário de muitos participantes deste teste, você não verá modificadores atrasados nos resultados da SentinelOne. Isso significa que a proteção é automática e os dados estão disponíveis em tempo real. A velocidade é importante.
A solução da SentinelOne também fez os testes sem qualquer alteração de configuração. O MITRE oferece aos fornecedores a oportunidade de testar novamente qualquer etapa. Normalmente, isso significa que fontes de dados ou lógica de detecção inteiramente novas foram trazidas pelo fornecedor, somente depois que ele souber exatamente o que o MITRE está fazendo.
Não há segundas chances no mundo real: um adversário de ransomware não permitirá que você reforce sua segurança durante um ataque. Ao avaliar soluções de segurança empresarial para implantação no mundo real, é prudente estudar o desempenho de um fornecedor sem atrasos e configurações. Você não encontrará nenhum modificador ou alteração em nossos resultados.
A importância da visibilidade
Compreender e visualizar o killchain e sua linha do tempo é importante por vários motivos. Primeiro, os analistas têm a capacidade de ver um ataque na sua totalidade, combinando alertas e eventos individuais numa visão única e abrangente do incidente, independentemente da origem dos dados. Em segundo lugar, ter uma visão dos activos afetados significa que os profissionais de segurança podem garantir a expulsão completa do adversário. As vítimas de ransomware são frequentemente alvo de novo, portanto a remoção total dos ativos infectados é imperativa para mitigar as ameaças.
Embora alguns fornecedores possam detectar eventos e alertas, eles geralmente são visualizados e exibidos às centenas, milhares ou mesmo centenas de milhares em alguns casos. A classificação interminável de alertas torna a investigação desafiadora e atrasa o tempo de resposta. A tecnologia Storyline patenteada do SentinelOne une automaticamente alertas relacionados, fornecendo aos analistas uma visão completa das detecções em todos os vetores de ataque cobertos e correlacionados em vários incidentes. Essa visualização priorizada reduz a fadiga dos alertas e garante uma correção rápida e completa.
Esse contexto profundo dos incidentes também capacita os analistas com a base para a caça de ameaças em todos os dados organizacionais, enriquecendo e aprimorando as investigações com telemetria de qualquer fonte de terceiros. Esses insights proporcionam uma visão abrangente de toda a empresa e uma oportunidade para ser proativo e melhorar a postura de segurança.
O teste mais importante é o mundo real
Embora seja importante avaliar a tecnologia, especialmente numa área de alto risco como a segurança cibernética, não existe teste como o do mundo real. A SentinelOne tem orgulho de realizar a avaliação MITRE ATT&CK e se destacar usando o agente, plataforma e recursos exatos que nossos clientes confiam em nós para protegê-los todos os dias. A Plataforma Singularity detectou e bloqueou todas as fases do ataque Turla sem atrasos e sem reconfigurações irrealistas ou recursos adicionais.
Interpretando os resultados da avaliação MITRE
O MITRE organiza as detecções de acordo com cada subetapa. Cada subetapa possui uma única categoria de detecção que representa o nível mais alto de contexto fornecido ao analista em todas as detecções dessa subetapa. Para referência, o contexto fornecido por cada categoria de detecção aumenta da esquerda para a direita, sendo Técnica o contexto mais alto dentro do diagrama de categorias de detecção. “Nenhum” significa que nenhum dado foi disponibilizado que satisfaça os critérios de detecção, portanto, menos “nenhum” significa maior visibilidade (leia mais sobre os critérios MITRE aqui).
Abaixo estão os resultados da SentinelOne nas 18 etapas das quais pudemos participar sem atrasos e/ou modificadores de alteração de configuração.
Os gráficos abaixo mostram como a CrowdStrike e a Microsoft se saíram em tempo real nas mesmas 18 etapas, sem realizar alterações de configuração após o fato e sem levar em consideração detecções atrasadas. O SentinelOne tem um desempenho significativamente melhor em termos de visibilidade geral, com menos “nenhum” e excelente desempenho em detecções analíticas.
A SentinelOne está comprometida com a inovação e o fornecimento de soluções para manter nossos clientes seguros. A plataforma Singularity é a primeira plataforma de IA a fornecer visibilidade e proteção para toda a empresa, reunindo todos os seus dados em um data lake unificado para eliminar riscos e proteger o futuro.
Para saber como o SentinelOne pode ajudar a proteger sua organização, entre em contato conosco.
