Sejak 2018, MITRE telah melakukan evaluasi tahunan ATT&CK untuk menetapkan standar industri dalam mengukur kemampuan deteksi dan pencegahan ancaman dari vendor di pasar keamanan endpoint.
Para ahli di MITRE mempelajari beberapa kelompok ancaman dunia nyata yang paling canggih, menganalisis metode mereka, dan mengembangkan alat kustom yang meniru teknik dan taktik yang digunakan oleh musuh untuk memeras ratusan juta dolar dari bisnis setiap tahunnya.
Evaluasi tahun ini membawa perubahan besar yang lebih mendekati simulasi lanskap ancaman yang terus berkembang saat ini. Perubahan-perubahan ini memberikan tingkat ketelitian yang lebih tinggi dalam evaluasi, membuat hasil evaluasi menjadi jauh lebih berdampak.
Mari kita jelajahi bagaimana evaluasi MITRE bekerja dan bagaimana tahun ini berbeda.
Apa yang berbeda tahun ini?
Peserta dalam evaluasi MITRE 2024 menghadapi tantangan evaluasi baru dan lebih banyak platform sistem operasi yang harus dipertahankan. Setiap perubahan ini menghasilkan gambaran yang lebih akurat mengenai efektivitas dunia nyata.
False positives
Dalam evaluasi tahun ini, vendor menghadapi tantangan untuk tidak memberikan peringatan atas 20 false positives di fase deteksi dan 30 false positives di fase perlindungan. Sinyal false positive ini meniru aktivitas bisnis normal yang seharusnya tidak dilaporkan atau dicegah sebagai ancaman.
Siapa pun yang pernah bekerja di atau berdekatan dengan SOC tahu betapa pentingnya menilai false positives. Alat yang tidak menghasilkan peringatan yang tidak perlu pada aktivitas yang tidak berbahaya membuat pekerjaan analis menjadi jauh lebih mudah, memungkinkan mereka untuk fokus pada upaya respons terhadap apa yang benar-benar penting dan memprioritaskan insiden tersebut dengan lebih efektif. False positives pada tahap pencegahan memiliki dampak paling signifikan, karena dapat mengganggu proses yang sangat penting bagi bisnis yang berjalan pada endpoint.
Mengukur false positives juga melindungi terhadap taktik spam dari peserta — yaitu, meningkatkan sensitivitas untuk menangkap perilaku jahat dalam evaluasi, tetapi dalam praktiknya menciptakan terlalu banyak kebisingan sehingga tidak berguna bagi seorang analis nyata.
Model evaluasi berkelanjutan
Tahun ini, evaluasi MITRE dijalankan selama beberapa hari tanpa jeda, bukan dalam tahapan yang terdefinisi dengan jelas seperti tahun-tahun sebelumnya. Dengan mengadopsi model ini, MITRE bertujuan untuk menilai bagaimana produk keamanan bekerja di bawah tekanan yang berkelanjutan, mirip dengan sifat ancaman siber modern yang tanpa henti.
Model evaluasi berkelanjutan menguji kemampuan produk untuk mengkorelasikan peristiwa dari waktu ke waktu. Selain merespons serangan individual dengan segera, produk harus mampu beradaptasi dengan ancaman yang berkembang dan menciptakan gambaran yang paling lengkap tentang kampanye serangan dinamis yang sedang berlangsung.
Cakupan yang diperluas
MITRE menantang vendor dengan berbagai jenis serangan dan teknik musuh yang lebih beragam dalam evaluasi tahun ini, dengan serangan yang menargetkan sistem operasi Windows, Linux, dan macOS. Cakupan yang lebih luas ini menilai kemampuan peserta untuk menghadapi kecepatan, kecanggihan, dan skala serangan modern serta aktor ancaman yang paling berkualitas.
Inklusi lingkungan cloud
Evaluasi tahun ini mencakup lebih banyak skenario serangan berbasis cloud, yang mencerminkan pentingnya keamanan cloud yang terus berkembang dan tantangan unik yang dihadapi oleh lingkungan cloud. Mengingat lanskap hybrid dan multi-cloud saat ini, perubahan ini sangat penting bagi organisasi untuk lebih memahami bagaimana solusi ini bekerja dalam melindungi aset dan data cloud mereka — terutama mengingat fokus pada kinerja langsung dari solusi tersebut.
Struktur Evaluasi MITRE
Untuk menguji kinerja vendor alat yang berpartisipasi, MITRE meniru dua jenis musuh:
- Serangan Ransomware-as-a-Service terhadap sistem Windows dan Linux. Emulasi ini menunjukkan fitur umum di seluruh kampanye ransomware profil tinggi, seperti penyalahgunaan alat sah, enkripsi data, dan menonaktifkan layanan atau proses penting.
- Pola serangan yang ditunjukkan oleh Republik Rakyat Demokratik Korea (DPRK) terhadap macOS. Emulasi ini meniru malware bertahap dan modular dalam operasi yang melibatkan hak istimewa yang ditingkatkan dan penargetan kredensial.
Mengapa dua emulasi ini?
Ransomware tetap menjadi salah satu serangan paling populer dan cepat berkembang di seluruh dunia, berkat teknologi canggih dan model ransomware-as-a-service.
Adapun DPRK, Korea Utara adalah salah satu musuh yang paling dinamis dan canggih, yang secara teratur menargetkan sistem dan organisasi bernilai tinggi.