Über MITRE ATT&CK und deren Services habe ich in den Vergangenheit ja schon gebloggt und sogar schon gepodcastet. Heute folgt so etwas wie ein Folgebeitrag, in dem es wieder um dieses Expertennetzwerk geht und was das erneut mit SentinelOne zu tun hat.
MITRE Engenuity ist den aktuellen Hackern auf der Spur
Heute geht es konkret um MITRE Engenuity, einer Non-Profit-Organisation, die es sich zur Aufgabe gemacht hat, mithilfe regelmäßig erscheinender Erhebungen und Tests die Bereiche 5G, Gesundheitswesen und Cybersecurity weiter voranzubringen. Indem sie Schwachstellen aufzeigt, aber auch einzelne Lösungsanbieter wie zum Beispiel SentinelOne mit ihren Mitbewerbern zu vergleichen. Also eine Art Stiftung Warentest, nur für Lösungen und Plattformen, anstatt für Warenprodukte.
Ganz frisch hat MITRE Engenuity seinen neuesten Bericht veröffentlicht, und zwar unter dem Namen „Carbanak & FIN7“. Der Titel erklärt sich recht einfach: Hinter „Carbanak“ steckt eine Hackergruppe, zu deren hauptsächlichen Angriffszielen Banken zählen. Diese kriminelle Vereinigung hat mithilfe der gleichnamigen Malware bis zum heutigen Tag etwa 100 Banken um gut eine Milliarde US-Dollar bestohlen. FIN7 im Gegensatz dazu beschränkt sich vor allem auf die USA, wo sie vornehmlich Restaurants, Ladengeschäfte und Krankenhäuser um Geld erpressen.
Carbanak und FIN7 genauesten ausgeleuchtet
Bei dem großen „Carbanak+FIN7“-Sicherheitstest wollte MITRE Engenuity vor allem eins wissen: Wie gut erkennen die bekannten und weit verbreiteten Security-Anbieter wie SentinelOne, Bitdefender, Fortinet, Trend Micro und Co. die beiden Angreifer und deren Methoden. Hierfür wurde für beide Szenerien eine exakte Abfolge definiert, und das basierend auf denselben 65 MITRE ATT@CK-Techniken und 11 -Taktiken. Sämtliche Kriterien wurden auf einer Microsoft Azure-Cloudumgebung überprüft, auf der die Software der Probanden installiert wurde, und das auf einer dedizierten virtuellen Maschine.
SentinelOne weist als einziger Security Provider eine vollständige Sichtbarkeit auf
Die gute Nachricht für SentinelOne-Anwender: Als einziger Sicherheitsanbieter hat das Unternehmen beim Carbanak+FIN7-Sicherheitstest in Sachen Sichtbarkeit die volle Punktzahl erreicht. Was insofern ein wenig überraschend ist, da sich im Testfeld ja ebenfalls renommierte und erfahrene Security Provider wie CrowdStrike und Microsoft befunden haben.
Das bedeutet konkret, dass SentinelOne als einziger Kandidat sämtliche Zwischenschritte richtig absolviert hat. Dazu gehörte die Disziplin „Telemetry Coverage“ genauso wie „Analytics Coverage“. Beiden gemein ist das Erkennen des jeweiligen Angriffs mit einer hohen Prozentzahl. Im Analytics-Fall waren es mehr als 91 Prozent, bei der Telemetriedaten-Erkennung sogar 94 Prozent.