FortiEDR in der MITRE Engenuity ATT&CK® Evaluation
Angesichts der Tatsache, dass Cyberkriminelle weiterhin mit einer Vielzahl neuer und bereits bekannter Ransomware-Stämme auf Unternehmen eindreschen (ca. 150.000 einzelne Erkennungen pro Woche), sind die diesjährigen MITRE ATT&CK®-Evaluierungen laut eines aktuellen Bedrohungsberichts der FortiGuard Labs besonders wichtig. MITRE ATT&CK hat seine Evaluierungen für Unternehmen veröffentlicht, und Fortinet FortiEDR Endpoint Detection and Response hat 100 % der Angriffe abgewehrt. Dies ist das zweite Jahr in Folge, in dem FortiEDR alle Angriffe blockiert hat, und es gab eine 32-prozentige Steigerung bei der Erkennung von Teilschritten mit nahezu 100 % aller identifizierten Techniken.
Die MITRE ATT&CK-Evaluierungen bewerten die Fähigkeit von Cybersicherheitsprodukten um bekanntes gegnerisches Verhalten zu erkennen. Um objektive Einblicke in die Produktfähigkeiten zu erhalten, verwendet MITRE seine Wissensbasis für Angreifer-Taktiken, -Techniken und -Gemeinschaftswissen (ATT&CK), um die Taktiken und Techniken nachzuahmen, die in der realen Welt bei Hackern zu beobachten sind.
Diese Evaluierungsrunde konzentrierte sich auf die Bedrohungsgruppen Wizard Spider und Sandworm. Wizard Spider ist eine finanziell motivierte kriminelle Gruppe, die seit August 2018 Ransomware-Kampagnen gegen eine Vielzahl von Organisationen - von großen Unternehmen bis hin zu Krankenhäusern - durchgeführt hat. Sandworm ist eine destruktive Bedrohungsgruppe, die für die Durchführung bemerkenswerter Angriffe bekannt ist, wie z. B. die Angriffe auf ukrainische Elektrounternehmen in den Jahren 2015 und 2016 und die NotPetya-Angriffe im Jahr 2017.
Die FortiEDR-Ergebnisse
FortiEDR nahm an allen Testszenarien teil, mit Ausnahme des einzigen Linux-Tests, der im nächsten Jahr durchgeführt wird. In den neun Szenarien erkannte und katalogisierte FortiEDR 97 % der 90 im Test verwendeten Nicht-Linux-Schritte und blockierte alle Angriffe. Darüber hinaus wurden 93 % der Teilschritte mit Hilfe der "Technik" erkannt, die eine Beschreibung der Technik mit der zu testenden Technik für eine EDR-Lösung (Endpoint Detection and Response) verbindet. Die wachsende Fähigkeit, Bedrohungen mithilfe des MITRE-Frameworks zu diagnostizieren, macht FortiEDR zu einem zuverlässigen Tool für Unternehmen.
Wie Gartner® feststellt, ist die Erkennung von Bedrohungen schwierig. Technische Experten für Sicherheit und Risikomanagement müssen ihre Organisation gegen Hunderte von bekannten und möglicherweise noch mehr unbekannte Bedrohungen verteidigen. Das MITRE ATT&CK-Framework hat sich entwickelt, um eine gemeinsame Taxonomie für Bedrohungen und eine Grundlage für die Erkennung von Bedrohungen zu schaffen1."
Durch die Übernahme dieses Standards ist FortiEDR für Sicherheitsmitarbeiter intuitiver geworden, insbesondere bei der Bedrohungsjagd.
Die Ergebnisse zeigen, wie die ausgereiften Funktionen zur Bedrohungssuche, -erkennung und -abwehr in FortiEDR von den integrierten Technologien für künstliche Intelligenz und maschinelles Lernen profitieren. Da FortiEDR nicht auf Signaturen angewiesen ist (diese aber dennoch in der Cloud verwendet), werden künftige Cyberangriffe, die ähnliche Taktiken und Techniken wie die in der Evaluierung verwendeten verwenden, mit großer Wahrscheinlichkeit blockiert, selbst wenn noch keine Bedrohungsdaten über sie vorliegen.
Bemerkenswert ist, dass Fortinet kürzlich mit dem MITRE Engenuity Center for Threat Informed Defense zusammengearbeitet hat und herausfand, dass 90 % aller in den letzten 28 Monaten gesichteten cyberkriminellen Techniken in nur 15 Kategorien fallen. Die nachgewiesene Fähigkeit, diese Techniken nicht nur zu verstehen sondern auch zu blockieren, gibt Unternehmen die Gewissheit, dass sie in der Lage sind, sich auch vor bisher unbekannten Ransomware-Kampagnen zu schützen. (Bemerkenswert ist, dass mehr als 2/3 dieser häufigsten Techniken Teil der ATT&CK-Bewertung der Runde 4 waren).
FortiEDR verfügt über einen einzigartigen Ansatz zur tiefgreifenden Überwachung von Systemaktivitäten, das so genannte "Code Tracing". Die Vorteile dieser patentierten Technologie wurden in den Bewertungsergebnissen deutlich. Um unbemerkt und unauffällig zu bleiben, verletzen fortschrittliche Bedrohungen oft eine oder mehrere legitime Anweisungen des Betriebssystems. Durch die Korrelation der vom Betriebssystem ausgehenden Kommunikations- oder Dateiänderungsanweisungen mit dem vorhergehenden Befehlsfluss des Betriebssystems kann FortiEDR bösartige Aktionen in Echtzeit erkennen und verhindern.
Die MITRE ATT&CK-Evaluierungen zeigen, wie gut die echte, verhaltensbasierte Endpunktschutzplattform (EPP) und der EDR-Ansatz zusammen mit der Codeverfolgung in FortiEDR funktionieren, um Bedrohungen zu erkennen und zu verhindern.
Über FortiEDR
Die FortiEDR-Lösung bietet umfassenden Schutz für Endgeräte in Echtzeit, sowohl vor als auch nach der Infektion. Sie bietet automatisierten Endpunktschutz in Echtzeit mit orchestrierter Incident Response über alle Kommunikationsgeräte hinweg - und das alles auf einer einzigen integrierten Plattform. FortiEDR schützt alles, von Workstations und Servern mit aktuellen und älteren Betriebssystemen bis hin zu Point-of-Sale- und Fertigungssteuerungen. FortiEDR basiert auf einer nativen Cloud-Infrastruktur und kann in der Cloud, vor Ort oder als Hybrid-Implementierung eingesetzt werden.
FortiEDR umfasst auf maschinellem Lernen basierende Antivirenfunktionen der nächsten Generation, Kontrolle der Anwendungskommunikation, automatisierte Endpunkt-Erkennung und -Reaktion (EDR), Echtzeit-Blockierung, Bedrohungssuche, Reaktion auf Vorfälle und virtuelle Patching-Funktionen. FortiEDR nutzt auch die breitere Fortinet Security Fabric-Architektur durch die Integration mit Security Fabric-Komponenten wie FortiGate, FortiNAC, FortiSandbox und FortiSIEM. FortiEDR bietet:
● Überlegenen Echtzeitschutz vor und nach der Ausführung
● Robuste Erkennung von hochwertigen, risikobehafteten Aktivitäten, ohne dass Sicherheitsteams überfordert werden
● Ein einheitlicher Ansatz für Schutz, Erkennung und automatische Reaktion