{"id":6127,"date":"2025-01-13T11:48:13","date_gmt":"2025-01-13T10:48:13","guid":{"rendered":"https:\/\/bezpecnevofirme.eset.com\/sk\/?p=6127"},"modified":"2025-01-13T11:48:13","modified_gmt":"2025-01-13T10:48:13","slug":"hodnotenie-attck-evaluations-zamerane-na-segment-velkych-firiem-vyzdvihuje-pristup-eset-u-k-detekcii-a-reakcii-na-incidenty-vyuzivajuci-ai","status":"publish","type":"post","link":"https:\/\/bezpecnevofirme.eset.com\/sk\/eset-blog\/hodnotenie-attck-evaluations-zamerane-na-segment-velkych-firiem-vyzdvihuje-pristup-eset-u-k-detekcii-a-reakcii-na-incidenty-vyuzivajuci-ai\/","title":{"rendered":"Hodnotenie ATT&CK\u00ae Evaluations zameran\u00e9 na\u00a0segment ve\u013ek\u00fdch firiem vyzdvihuje pr\u00edstup ESET-u k\u00a0detekcii a\u00a0reakcii na\u00a0incidenty vyu\u017e\u00edvaj\u00faci AI"},"content":{"rendered":"\n
\"BVF<\/figure>\n\n\n\n
<\/div>\n\n\n\n

N\u00e1stroj Incident Creator (Spr\u00e1vca incidentov) v\u00a0produkte ESET Inspect vyu\u017e\u00edvaj\u00faci umel\u00fa inteligenciu zaznamenal po\u010das hodnotenia v\u00fdznamn\u00fd pr\u00ednos v\u00a0spr\u00e1ve incidentov.<\/em><\/p>\n\n\n\n

N\u00e1zory a\u00a0stanovisk\u00e1 vyjadren\u00e9 v\u00a0tomto blogovom pr\u00edspevku s\u00fa n\u00e1zormi a\u00a0stanoviskami spolo\u010dnosti ESET a\u00a0nemusia nevyhnutne odr\u00e1\u017ea\u0165 n\u00e1zory alebo postoje organiz\u00e1cie MITRE Engenuity.<\/em><\/p>\n\n\n\n

V tohtoro\u010dnom hodnoten\u00ed ATT&CK\u00ae Evaluations zameranom na segment ve\u013ek\u00fdch firiem<\/a> vytvorila organiz\u00e1cia MITRE tri scen\u00e1re \u00fatoku: scen\u00e1r \u201eK\u00f3rejsk\u00e1 \u013eudovodemokratick\u00e1 republika (K\u013dDR)\u201c na testovanie kybernetickej \u0161pion\u00e1\u017ee v syst\u00e9me macOS, scen\u00e1r \u201eCl0p\u201c na testovanie ransomv\u00e9rov\u00e9ho \u00fatoku na syst\u00e9m Windows a scen\u00e1r \u201eLockBit\u201c na testovanie ransomv\u00e9rov\u00e9ho \u00fatoku na firemn\u00fa infra\u0161trukt\u00faru so serverom Linux a pracovn\u00fdmi stanicami a servermi Windows.<\/p>\n\n\n\n

ESET Inspect preuk\u00e1zal vo\u00a0v\u0161etk\u00fdch uveden\u00fdch scen\u00e1roch v\u00fdborn\u00fd preh\u013ead, pri\u010dom detegoval ka\u017ed\u00fd krok \u00fatoku a\u00a0z\u00e1rove\u0148 udr\u017eal celkov\u00fd po\u010det (objem) detekci\u00ed na\u00a0n\u00edzkej \u00farovni. Na\u00a0z\u00e1klade detekci\u00ed vygenerovan\u00fdch z\u00a0\u00fatokov sa pomocou n\u00e1stroja Incident Creator (Spr\u00e1vca incidentov) v\u00a0produkte ESET Inspect automaticky vytvoril komplexn\u00fd obraz o\u00a0incidentoch, \u010do na\u0161im bezpe\u010dnostn\u00fdm analytikom poskytlo koncentrovan\u00fd poh\u013ead na\u00a0\u00fatoky, v\u010faka ktor\u00e9mu dok\u00e1zali ihne\u010f pochopi\u0165, ako k\u00a0nim krok za\u00a0krokom do\u0161lo.<\/p>\n\n\n\n

Pre lep\u0161iu predstavu o\u00a0tom, ako sa spolo\u010dnosti ESET darilo, si prejdeme niektor\u00e9 zmeny v\u00a0metodike, ktor\u00e9 zaviedla organiz\u00e1cia MITRE, a\u00a0potom sa pozrieme na\u00a0to, ako Incident Creator prispel k\u00a0efekt\u00edvnej\u0161iemu preh\u013eadu a\u00a0pracovn\u00fdm postupom bezpe\u010dnostn\u00fdch analytikov pou\u017e\u00edvaj\u00facich riadiaci panel ESET Inspect.<\/p>\n\n\n\n

Metodika<\/h2>\n\n\n\n

Toto hodnotenie prinieslo nieko\u013eko premyslen\u00fdch zmien v metodike scen\u00e1rov detekcie, ktor\u00e9 pod\u013ea n\u00e1s lep\u0161ie odr\u00e1\u017eaj\u00fa pr\u00e1cu bezpe\u010dnostn\u00e9ho analytika pri rie\u0161en\u00ed re\u00e1lnych kybernetick\u00fdch \u00fatokov.<\/p>\n\n\n\n

Po prv\u00e9, telemetria u\u017e nie je kateg\u00f3riou detekcie<\/a>, tak\u017ee nesta\u010d\u00ed len preuk\u00e1za\u0165, \u017ee<\/em> k udalosti do\u0161lo. Najni\u017e\u0161ou kateg\u00f3riou detekcie je teraz kateg\u00f3ria V\u0161eobecn\u00e9, pod\u013ea ktorej mus\u00ed detekcia ukazova\u0165, \u017ee udalos\u0165 nastala a<\/em> je nejak\u00fdm sp\u00f4sobom podozriv\u00e1 alebo \u0161kodliv\u00e1. Je d\u00f4le\u017eit\u00e9 zd\u00f4razni\u0165, \u017ee udalos\u0165 v sandboxe sa nepova\u017euje za udalos\u0165 v hodnotenom prostred\u00ed. Ako je uveden\u00e9 v opise, v\u0161eobecn\u00e1 detekcia mus\u00ed v s\u00favislosti s testovan\u00fdm prostred\u00edm poskytn\u00fa\u0165 odpovede na ot\u00e1zky \u010do, kde, kedy a kto. Tieto ot\u00e1zky nie je mo\u017en\u00e9 zodpoveda\u0165 na z\u00e1klade spustenia vzorky v externom sandboxe.<\/p>\n\n\n\n

Po druh\u00e9, niektor\u00e9 ne\u0161kodn\u00e9 \u010diastkov\u00e9 kroky sl\u00fa\u017eili sk\u00f4r na testovanie falo\u0161n\u00fdch poplachov ne\u017e detekci\u00ed. Je to v\u00edtan\u00e1 zmena, preto\u017ee dod\u00e1vate\u013eov bezpe\u010dnostn\u00fdch rie\u0161en\u00ed odr\u00e1dza od pr\u00edstupu riadiaceho sa heslom \u201edetegova\u0165 v\u0161etko\u201c, ktor\u00fd by mohol vies\u0165 k ve\u013ek\u00e9mu po\u010dtu hl\u00e1sen\u00ed a zbyto\u010dnej pr\u00e1ci bezpe\u010dnostn\u00fdch analytikov a navy\u0161e by zv\u00fd\u0161il n\u00e1klady na ukladanie \u00fadajov. \u010eal\u0161ou v\u00fdhodou tejto zmeny je, \u017ee umo\u017e\u0148uje vypo\u010d\u00edta\u0165 sk\u00f3re presnosti<\/a>, ktor\u00e9 ud\u00e1va, ko\u013eko z detekci\u00ed zodpoved\u00e1 skuto\u010dne \u0161kodliv\u00fdm alebo podozriv\u00fdm \u010diastkov\u00fdm krokom.<\/p>\n\n\n\n

Po tretie, niektor\u00e9 \u010diastkov\u00e9 kroky s\u00fa s\u00edce zahrnut\u00e9 do testovania, ale nehodnotia sa. D\u00f4vodom zaradenia tak\u00fdchto \u010diastkov\u00fdch krokov je snaha lep\u0161ie simulova\u0165 re\u00e1lny kybernetick\u00fd \u00fatok t\u00fdm, \u017ee sa zabr\u00e1ni nelogick\u00fdm skokom v procese \u00fatoku.<\/p>\n\n\n\n

A nakoniec bola zaveden\u00e1 metrika objemu, ktor\u00e1 zaznamen\u00e1va po\u010det detekci\u00ed zobrazen\u00fdch na riadiacom paneli. Ide o \u010fal\u0161\u00ed sp\u00f4sob, ako odradi\u0165 dod\u00e1vate\u013eov bezpe\u010dnostn\u00fdch rie\u0161en\u00ed od toho, aby sa riadili heslom \u201edetegova\u0165 v\u0161etko\u201c a dovolili, aby ich riadiace panely zobrazovali mili\u00f3ny<\/em> detekci\u00ed. Aj t\u00fato \u00fapravu v\u00edtame.<\/p>\n\n\n\n

Metrika objemu zaznamen\u00e1va aj z\u00e1va\u017enos\u0165 detekci\u00ed, pri\u010dom rozli\u0161uje p\u00e4\u0165 \u00farovn\u00ed: kritick\u00fa, vysok\u00fa, stredn\u00fa, n\u00edzku a informat\u00edvnu. Ke\u010f\u017ee ESET Inspect m\u00e1 tri \u00farovne z\u00e1va\u017enosti incidentu<\/a> (vysok\u00e1, stredn\u00e1 a n\u00edzka) a tri \u00farovne z\u00e1va\u017enosti detekcie<\/a> (hrozba, varovanie a inform\u00e1cia), dohodli sme sa s t\u00edmom MITRE Engenuity na mapovan\u00ed uvedenom v tabu\u013eke 1.<\/p>\n\n\n\n

ATT&CK Evaluation<\/strong><\/td>ESET Inspect<\/strong><\/td><\/tr>
Kritick\u00e1<\/td>Incident s vysokou z\u00e1va\u017enos\u0165ou<\/td><\/tr>
Vysok\u00e1<\/td>Detekcia na \u00farovni hrozby s\u00favisiaca s ak\u00fdmko\u013evek incidentom<\/td><\/tr>
Stredn\u00e1<\/td>Detekcia na \u00farovni varovania s\u00favisiaca s ak\u00fdmko\u013evek incidentom<\/td><\/tr>
N\u00edzka<\/td>Detekcia na \u00farovni inform\u00e1cie so sk\u00f3re > 22 s\u00favisiaca s ak\u00fdmko\u013evek incidentom<\/td><\/tr>
Informat\u00edvna<\/td>Detekcia na \u00farovni inform\u00e1cie so sk\u00f3re \u2264 22 s\u00favisiaca s ak\u00fdmko\u013evek incidentom<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Tabu\u013eka\u00a01: Mapovanie medzi \u00farov\u0148ami z\u00e1va\u017enosti v\u00a0hodnoten\u00ed ATT&CK Evaluation a\u00a0v\u00a0produkte ESET Inspect<\/em><\/p>\n\n\n\n

Je potrebn\u00e9 vysvetli\u0165, pre\u010do sme ako hranicu medzi n\u00edzkou a informat\u00edvnou \u00farov\u0148ou z\u00e1va\u017enosti zvolili sk\u00f3re 22. V na\u0161ej dokument\u00e1cii<\/a> sa uv\u00e1dza:<\/p>\n\n\n\n

Pravidl\u00e1 so\u00a0sk\u00f3re z\u00e1va\u017enosti\u00a022 a\u00a0ni\u017e\u0161\u00edm s\u00fa telemetrick\u00e9 pravidl\u00e1. Zvy\u010dajne poskytuj\u00fa len dodato\u010dn\u00e9 inform\u00e1cie potrebn\u00e9 pri\u00a0vy\u0161etrovan\u00ed incidentu a\u00a0\u010dasto m\u00f4\u017eu by\u0165 aktivovan\u00e9 legit\u00edmnym spr\u00e1van\u00edm. Ak niektor\u00e9 z\u00a0t\u00fdchto pravidiel generuj\u00fa vo\u00a0va\u0161om prostred\u00ed pr\u00edli\u0161 ve\u013ek\u00fa aktivitu, m\u00f4\u017eete zv\u00e1\u017ei\u0165 ich vypnutie.<\/em>„<\/p>\n\n\n\n

\u010ealej v \u010dl\u00e1nku sa budeme odvol\u00e1va\u0165 len na \u00farovne z\u00e1va\u017enosti, ktor\u00e9 pou\u017e\u00edva ESET Inspect.<\/p>\n\n\n\n

V d\u00f4sledku tak\u00e9hoto mapovania nie s\u00fa detekcie, ktor\u00e9 nes\u00favisia s incidentom, zahrnut\u00e9 do hodnotenia. Do ve\u013ekej miery to odr\u00e1\u017ea zam\u00fd\u0161\u013ean\u00e9 vyu\u017eitie produktu ESET Inspect v re\u00e1lnom svete: pre bezpe\u010dnostn\u00fdch analytikov s\u00fa d\u00f4le\u017eit\u00e9 najm\u00e4 incidenty vygenerovan\u00e9 s\u00favisiacimi detekciami. \u010eal\u0161ie podrobn\u00e9 inform\u00e1cie a detekcie, ktor\u00e9 nes\u00favisia s incidentmi, no v niektor\u00fdch pr\u00edpadoch by mohli by\u0165 cenn\u00e9, s\u00fa sekund\u00e1rne.<\/p>\n\n\n\n

Ke\u010f\u017ee riadiace panely sa skladaj\u00fa z r\u00f4znych \u010dast\u00ed, ktor\u00e9 zobrazuj\u00fa detekcie a in\u00e9 inform\u00e1cie v podrobnej, s\u00fahrnnej alebo grafickej forme, dod\u00e1vatelia bezpe\u010dnostn\u00fdch rie\u0161en\u00ed mohli na \u00fa\u010dely hodnotenia \u0161pecifikova\u0165 \u0161tandardn\u00e9 zobrazenie, ktor\u00e9 maj\u00fa prev\u00e1dzkovatelia bezpe\u010dnostn\u00fdch syst\u00e9mov pou\u017e\u00edva\u0165 pri rie\u0161en\u00ed \u00fatokov. Pri posudzovan\u00ed udalost\u00ed ako detekci\u00ed alebo falo\u0161n\u00fdch poplachov, ako aj pri meran\u00ed ich objemu sa m\u00f4\u017eu zoh\u013ead\u0148ova\u0165 iba inform\u00e1cie prezentovan\u00e9 prostredn\u00edctvom tohto zobrazenia. V produkte ESET Inspect je \u0161tandardn\u00fdm zobrazen\u00edm pre bezpe\u010dnostn\u00fdch analytikov sekcia Incidenty.<\/p>\n\n\n\n

Incidenty<\/h2>\n\n\n\n

Sekcia Incidenty predstavuje hlavn\u00e9 zobrazenie, ktor\u00e9 by mali prev\u00e1dzkovatelia bezpe\u010dnostn\u00fdch syst\u00e9mov pou\u017e\u00edva\u0165 pri pr\u00e1ci. Incidenty automaticky prib\u00fadaj\u00fa do sekcie dvoma sp\u00f4sobmi:<\/p>\n\n\n\n