POZNÁMKA: Názory a stanoviská uvedené v tomto blogu sú názormi spoločnosti ESET a nemusia nevyhnutne odrážať názory alebo postoje organizácie MITRE Corporation.
Navonok to môže vyzerať ako preteky výrobcov EDR/XDR, no MITRE ATT&CK® Evaluations Enterprise 2025 sú v skutočnosti nástrojom, ako pochopiť, čo dnes znamená efektívna detekcia a prevencia útokov. Článok vysvetľuje, ako správne čítať výsledky MITRE, kde v nich hľadať skutočnú hodnotu a čo z nich vyčítať o prístupe spoločnosti ESET.
Skutočný poklad v najnovšom MITRE ATT&CK® Enterprise Evaluation sa skrýva v súhrnoch a hĺbkových dátových analýzach, nie v titulkoch od dodávateľov s vysokým predajným zámerom, ktorí sú pod tlakom „predávať“ riešenia typu Detection & Response. V dôsledku toho si aj vnímavý čitateľ môže nevšimnúť les pre stromy – vidí len individuálne výkony a ešte nerozbalené skóre, ktoré vníma ako jedinú reprezentatívnu metriku schopností dodávateľov. Pritom samotné hodnotenia a súhrny MITRE sú pripravené práve na to, aby boli „rozbalené“ – práve v tom spočíva ich hodnota.
Tento rok postavil MITRE dodávateľov proti dvom simulovaným protivníkom. Prvý scenár, Demeter (zrejme skupina Scattered Spider), sa zameral na protivníka s vysokým tempom aktivít, známeho svojimi technikami sociálneho inžinierstva. Hermes (pravdepodobne Mustang Panda – obvyklý „podozrivý“ v ESET APT reportoch) bol druhý scenár, ktorý simuloval štátom podporovanú kyberšpionážnu skupinu s rýchlo sa vyvíjajúcimi schopnosťami. Tieto dva scenáre preverili odborné znalosti zúčastnených dodávateľov a zároveň veľmi dobre ukázali, ako jednotlivé hodnotené produkty podporujú prácu analytikov.
ESET si tento rok viedol dobre, no cieľom hodnotení je prehlbovať porozumenie používateľov EDR a XDR, nie rozdávať medaily. Po piatich rokoch účasti v hodnoteniach vieme, že výsledkom je obrovský objem dát a poznatkov, v ktorých je náročné sa zorientovať aj pre ostrieľaných insiderov. Preto máme niekoľko odporúčaní, ako odfiltrovať „vatu“ a dostať sa k skutočne hodnotným informáciám, ktoré využijete, ak prevádzkujete alebo plánujete kúpiť EDR či XDR.
Čo je MITRE ATT&CK® Evaluations Enterprise 2025?
O taktikách, technikách a postupoch (TTPs) útočníkov rozhodne nie je nedostatok informácií. Úlohou analytikov je spojiť vlastné znalosti a skúsenosti s týmito poznatkami a využiť nástroje, ktoré majú k dispozícii – či už ide o centrálnu spravodajskú platformu, EDR/XDR, SIEM/SOAR a podobné riešenia.
Spôsobov, ako pristupovať k ochrane, je však viac a každé endpoint bezpečnostné riešenie robí svoju prácu trochu inak. Každý poskytovateľ má vlastné metódy a prístupy, ako zobrazovať svoju telemetriu a detekcie, takže chvíľu trvá, kým si analytici nájdu „svojho favorita“, zžijú sa s ním a prepoja svoju znalosť konkrétneho prostredia s výhodami, ktoré im daný nástroj ponúka.
Práve toto je problém, ktorý sa hodnotenia MITRE ATT&CK snažia riešiť: čo najtransparentnejšie zmapovať, ako EDR/XDR nástroje zvládajú škodlivé scenáre, a ukázať schopnosti a obmedzenia každého zúčastneného dodávateľa. Neexistuje „správny“ spôsob, ako analyzovať hrozbu – dôležité je, či je daný nástroj použiteľný a vhodný pre konkrétneho analytika.
Rok 2025 je pre MITRE rokom zmien
Tohtoročný formát nadviazal na významné zmeny predstavené v roku 2024 a zároveň zachoval samostatný test ochrany.
Je to dôležité, pretože hoci akýkoľvek EDR nástroj dokáže generovať detekcie, rozhodujúci je obsah týchto detekcií a upozornení. Viditeľnosť detekcií bola dôkladne testovaná tým, že útočníkom bolo umožnené realizovať svoje aktivity bez prerušenia. To postavilo účastníkov pred výzvu zosúladiť svoje detekcie so znalostnou databázou MITRE ATT&CK – prístup, ktorý by mal odrážať súčasnú podobu hrozieb a základné funkcie, na ktorých stoja všetky EDR/XDR riešenia.
Otázkou však je, či test nezaostáva za jedinečnou telemetriou z reálneho prostredia, ktorú jednotlivé riešenia využívajú.
MITRE Evaluation zohráva významnú úlohu na kyberbezpečnostnom trhu – pôsobí ako akási „kvalitatívna brána“ a priemyselný štandard. Mnohé firmy a dodávatelia služieb používajú hodnotenia na dôkladné preverenie dodávateľov, čo môže viesť k tomu, že neochotní účastníci prichádzajú o veľké potenciálne zákazky, pretože im chýba vnímaná „certifikácia“.
Test ochrany preveroval efektívnosť blokovania a v konečnom dôsledku – podobne ako prístup spoločnosti ESET zameraný primárne na prevenciu – zastavenie útokov skôr, než dokážu spôsobiť zásadné škody. Na tento účel boli zapnuté všetky ochranné mechanizmy a účastníci mali ukázať, ako dokážu pokročilé škodlivé útoky odhaliť a v reálnom čase zastaviť ešte pred dosiahnutím kritických bodov útoku.
Výzva v detekcii sa líšila aj tým, že zahŕňala zmenu konfigurácie – účastníci mohli po prvom odbehnutí scenára upraviť nastavenia svojho produktu. SOC tímy neustále prekonfigurujú svoje prostredia, aby sa prispôsobili stále sa meniacemu prostrediu hrozieb, a preto má testovanie schopnosti jednoducho robiť a skúšať konfiguračné zmeny tieto podmienky odrážať.
Ako čítať výsledky spoločnosti ESET: návod, nie preteky
Vráťme sa k „rozbaľovaniu“ výsledkov, ktoré sme spomínali na začiatku. Na jednej strane môže ESET povedať, že skóre ochrany ESET PROTECT je 100 % a ide o najlepší možný výsledok, alebo že miera detekcie poskytla výraznú viditeľnosť. Pre aktívneho analytika však samotná matematika nemusí poskytovať toľko užitočných informácií… alebo áno? Naopak, iný dodávateľ môže povedať, že má ešte lepšie skóre detekcie – lenže ani to nehovorí celý príbeh.
Aj preto kladie ESET taký dôraz na prevenciu (silne závislú od detekcií) a je prinajmenšom zaujímavé, že odkedy bolo v roku 2024 zavedené meranie ochrany, zapájajú sa do tejto časti hodnotenia všeobecne len približne dve tretiny účastníkov MITRE. Ak váš produkt automaticky blokuje útoky, podobné tým v scenári ochrany, uvoľňuje ruky bezpečnostným tímom, aby sa mohli sústrediť na strategické úlohy, ktoré ďalej posilňujú kybernetickú odolnosť.
Na druhej strane, niektorí analytici sú fixovaní na výkonnosť v detekcii. Môžete mať 100 % skóre detekcie (ESET má 66,67 %), ale je všetka tá telemetria rovnako relevantná?
Nie. V rámci testov majú niektoré TTP vyššiu závažnosť a teda aj väčšiu váhu a dopad na skóre detekcie. Počas piatich rokov účasti v hodnoteniach sa inžinieri ESET PROTECT vedome vyhýbali snahe o úplné pokrytie celej znalostnej databázy ATT&CK. Dôvod? Dosiahnutie 100 % označkovania modus operandi útočníka podľa ATT&CK nevylepší obranu ani automaticky nepomôže bezpečnostným analytikom v ich každodennej práci.
Omnoho dôležitejší je nízky, ale stále podstatný objem detekcií. Detekcia a reakcia si vyžaduje len toľko pokrytia vysoko rozšírených alebo kritických techník (či sub-krokov), koľko je potrebné na odvedenie práce. Všetko nad toto predstavuje riziko zahltenia analytikov. Chýbajúce detekcie nízkoprevalentných alebo nízko závažných techník sa nemusia premietnuť do nižšej úrovne ochrany. Práve naopak – môže to znamenať, že procesy sú zefektívnené a náprava rýchlejšia, pretože kľúčové kroky potrebné na identifikáciu útoku sú okamžite zvýraznené. To umožňuje včas spustiť adekvátnu reakciu – v niektorých prípadoch dokonca s automatickým blokovaním detegovanej hrozby.
Počas testovania v roku 2025 ESET PROTECT automaticky dopĺňal zistené incidenty relevantnými detekciami, pričom upozornenia obsahovali najvýraznejšie aktivity útočníka v rámci modelovanej siete. To viedlo k veľmi dobre korelovanému a nízkoobjemovému výkonu v rámci jednotlivých scenárov (v scenári Hermes išlo len o jediný incident) – čo je veľké plus pre každého analytika, ktorý sa chce sústrediť len na to podstatné a odrezať šum.
Áno, MITRE tieto aspekty testuje. Jedným z dôvodov, prečo sa dodávatelia zapájajú, je možnosť využiť získané know-how na vylepšenie svojich detekčných enginov. Ale pre bezpečnostného analytika, ktorý je pod tlakom zastaviť prebiehajúci útok, nie sú drobné detaily prioritou. Potrebuje jasné, jednoznačné upozornenie – často ide o najzávažnejšie a najvýpovednejšie detekcie – ktoré sú usporiadané v XDR (ideálne automaticky) tak, aby ho nasmerovali k ďalším krokom.
Vyhrať bitku, prehrať vojnu
O účastníkov, ktorí budú tvrdiť, že „vyhrali“ najnovšie MITRE Evaluation, nebude núdza.
„MITRE nikdy nebolo o víťazoch a porazených,“ hovorí Juraj Malcho, Chief Technology Officer spoločnosti ESET. „Marketingové slogany môžu tvrdiť, že ste vyhrali, ale v reálnom svete – v tom, ktorému čelia skutoční bezpečnostní analytici – ste mohli v skutočnosti prehrať. Analytici nepotrebujú logovať každú jednu udalosť v systémoch. Bez ohľadu na to, či je zosúladená so znalostnou databázou ATT&CK alebo nie, už teraz majú dosť šumu, s ktorým musia bojovať. Záleží na presnej korelácii detekcií a označovaní podozrivých aktivít na ďalšie prešetrenie.“
Ďalším dôležitým faktorom pri hodnotení akéhokoľvek dodávateľa je dobrý výsledok pri tvorbe detekčnej logiky, teda (re)konfigurácie. Flexibilita ESET PROTECT v tomto smere pomohla zabezpečiť dobré pokrytie relevantných slepých miest po úvodnom odbehnutí každého scenára – vďaka schopnosti upraviť detekčnú logiku riešenia nad rámec pôvodnej, dodávateľom predpokladanej umelej východiskovej konfigurácie. V reálnom svete tak môžu analytici prispôsobiť logiku ESET PROTECT potrebám svojho prostredia a tvarovať ju tak, aby cielene riešila hrozby typické pre konkrétny sektor.
Využite nástroje MITRE na vlastné hodnotenie
Našťastie, web MITRE ponúka komplexný pohľad na každý scenár a na jednotlivé kroky (napr. spustenie používateľom) a sub-kroky (škodlivý odkaz). Tento pohľad je podporený aj obrázkami z prostredí a rozhraní riešení jednotlivých dodávateľov, ktoré ukazujú, ako prezentujú a sprostredkúvajú informácie analytikom – napríklad spôsob, akým korelujú detekcie so znalostnou databázou ATT&CK, rôzne modifikátory či možnosti priameho porovnania dodávateľov v jednom zobrazení.
ESET odporúča čitateľom navštíviť stránku MITRE ATT&CK® Evaluations Enterprise 2025 a vnímať výsledky testovania každého zúčastneného dodávateľa ako usmernenie – nielen na overenie vlastných predpokladov, ale aj na potvrdenie hodnoty, ktorú jednotlivé riešenia prinášajú.
Buďte proaktívni, nie reaktívni
Otázka: Mal by ESET tvrdiť, že tohtoročné výsledky MITRE boli také dobré, že sme „zatienili“ ostatných účastníkov? Nie. To nie je cieľ Evaluations.
MITRE ATT&CK Enterprise Evaluations nie je len ďalší test – je to séria testov navrhnutých tak, aby odhalili detailné poznatky, ktoré pomáhajú lepšie porozumieť produktovým inžinierom, vývojovým tímom, CISO a ďalším. MITRE motivuje dodávateľov, aby svoje nástroje neustále zdokonaľovali – podobne ako autor hľadá nové perspektívy na známu tému alebo špecialista na monitoring integruje ďalší dátový zdroj od iného poskytovateľa do svojej spravodajskej platformy. Hodnotenie je určené kyberbezpečnostným analytikom, ktorí používajú EDR, XDR a podobné riešenia na ochranu svojich organizácií. Je obzvlášť užitočné pre tých, ktorí chcú formovať alebo preformovať svoj nástrojový set pre detekciu a reakciu na incidenty.
Ak patríte k tým, ktorí radi spochybňujú vlastné predstavy o kyberbezpečnostných dodávateľoch a testoch MITRE, pokojne si pozrite stránku s výsledkami. Pamätajte však, že nejde o súťaž, ale o vhľad.
