{"id":6670,"date":"2023-09-22T17:01:53","date_gmt":"2023-09-22T15:01:53","guid":{"rendered":"https:\/\/partnernews.sophos.com\/de-de\/?p=6670"},"modified":"2024-07-04T11:56:49","modified_gmt":"2024-07-04T11:56:49","slug":"results-from-the-2023-mitre-engenuity-attck-evaluations-round-5-turla","status":"publish","type":"post","link":"https:\/\/partnernews.sophos.com\/de-de\/2023\/09\/resources\/results-from-the-2023-mitre-engenuity-attck-evaluations-round-5-turla\/","title":{"rendered":"Ergebnisse der MITRE Engenuity ATT&amp;CK Evaluations 2023 (Runde\u00a05: Turla)"},"content":{"rendered":"<p>Die f\u00fcnfte Runde der\u00a0<a href=\"https:\/\/attackevals.mitre-engenuity.org\/enterprise\/turla\/\" target=\"_blank\" rel=\"noopener\">MITRE Engenuity ATT&amp;CK<sup>\u00ae<\/sup>\u00a0Evaluations<\/a>\u00a0wurde ver\u00f6ffentlicht, in der die F\u00e4higkeit von 30 Endpoint Detection and Response (EDR)-L\u00f6sungen bewertet wird, die Taktiken, Techniken und Verfahren (TTPs) einer der ber\u00fcchtigsten Bedrohungsgruppen zu erkennen, zu analysieren und zu beschreiben: Turla.<\/p>\n<p>In diesem Artikel erkl\u00e4ren wir haupts\u00e4chlich, wie\u00a0<strong>Sophos eine 99%ige Erkennungsabdeckung erreicht<\/strong>\u00a0 hat, welche Kontextinformationen\u00a0<strong>Sophos Intercept\u00a0X<\/strong> dem Benutzer (in diesem Fall dem MITRE-Evaluation-Team) zur Verf\u00fcgung gestellt hat, und wie Sie mithilfe von ATT&amp;CK Evaluations eine Endpoint-Security-L\u00f6sung ausw\u00e4hlen k\u00f6nnen, die auf die spezifischen Anforderungen Ihrer Kunden zugeschnitten ist.<\/p>\n<p>Wir gehen also nicht auf <em>alle Aspekte\u00a0<\/em>dieser Runde von ATT&amp;CK Evaluations ein, da die F\u00fclle an Informationen den Rahmen dieses Artikels sprengen w\u00fcrde. ATT&amp;CK Evaluations liefern nicht nur eine Menge von Informationen. Die Ergebnisse lassen sich auch vielf\u00e4ltig interpretieren. Es gibt keine Punktzahlen, Ranglisten oder Platzierungen und kein Anbieter wird zum \u201eGewinner\u201c gek\u00fcrt.<\/p>\n<p>Die Tools der einzelnen Anbieter unterscheiden sich in ihrer Funktionsweise und ihrer Effizienz bei der Aufbereitung von Informationen f\u00fcr Analysten. Individuelle Bed\u00fcrfnisse und pers\u00f6nliche Pr\u00e4ferenzen spielen bei der Bewertung eines f\u00fcr Ihre Kunden und deren Teams geeigneten Endpoint-Security-Tools jedoch eine ebenso gro\u00dfe Rolle wie alle anderen Faktoren. Wenn Sie schon mal geh\u00f6rt haben, wie Gamer dar\u00fcber diskutieren, ob die PlayStation oder die Xbox besser ist, wissen Sie, was wir meinen (Hinweis: Die richtige Antwort ist Nintendo).<\/p>\n<h2>Wie hat Sophos in Runde\u00a05 der MITRE Engenuity ATT&amp;CK Evaluations abgeschnitten?<\/h2>\n<p>Diese Runde von ATT&amp;CK Evaluations konzentrierte sich auf die Nachahmung von Angriffsverhaltensweisen, die der russischen Bedrohungsgruppe Turla zugeschrieben werden.<\/p>\n<div class=\"embed-vimeo\"><iframe loading=\"lazy\" src=\"https:\/\/player.vimeo.com\/video\/865992322\" width=\"640\" height=\"360\" frameborder=\"0\" allowfullscreen=\"allowfullscreen\" data-mce-fragment=\"1\"><\/iframe><\/div>\n<p>\u00c4hnlich wie bei fr\u00fcheren Runden durchlief MITRE Engenuity im Verlauf der Bewertung mehrere Angriffsszenarien.<\/p>\n<p><strong>Angriffsszenario\u00a01: \u201eCarbon\u201c<\/strong><br \/> Der erste Testtag mit dem Titel \u201eCarbon\u201c bestand aus einer mehrschichtigen Angriffskampagne, die sowohl auf Windows- als auch auf Linux-Infrastruktur abzielte. Hierbei wurde Turla-spezifische Malware bereitgestellt, u.\u00a0a die Backdoor\u00a0<em>Epic<\/em>, die h\u00e4ufig in der Anfangsphase von Turlas Angriffen verwendet wird,\u00a0<em>Carbon<\/em>, eine Backdoor und ein Framework der zweiten Phase, mit der vertrauliche Informationen von Opfern gestohlen werden, und der Remote-Access-Trojaner (RAT) <em>Penquin<\/em>.<\/p>\n<p><strong>Angriffsszenario\u00a02: \u201eSnake\u201c<\/strong><br \/> Beim Szenario an Tag\u00a02 mit dem Titel \u201eSnake\u201c wurde ein Angriff auf eine hypothetische Organisation nachgeahmt, der sich auf Kernel- und Microsoft-Exchange-Ausnutzung konzentrierte. Dabei kamen erneut <em>Epic<\/em> sowie das Tool <em>Snake<\/em> zum Einsatz, welches f\u00fcr die langfristige Erfassung von Informationen \u00fcber sensible Ziele verwendet wird und als eines der derzeit ausgefeiltesten Cyberspionage-Tools gilt. Au\u00dferdem wurde die intelligente Backdoor <em>LightNeuron<\/em> verwendet, die zum Angriff auf Microsoft-Exchange-Server genutzt wird.<\/p>\n<p><strong>Sophos-Testergebnisse<\/strong><br \/> Mit dem aus 76\u00a0Unterschritten bestehenden \u201eCarbon\u201c-Angriffsszenario und den 67 Unterschritten von \u201eSnake\u201c f\u00fchrte das ATT&amp;CK-Evals-Team im Rahmen des Tests insgesamt <strong>143\u00a0Unterschritte<\/strong> durch.<\/p>\n<p><strong>Ergebnisse von Sophos Intercept\u00a0X:<\/strong><\/p>\n<ul>\n<li><strong>99\u00a0% Total Detection Coverage<\/strong>\u00a0(141 von 143 Angriffsunterschritten)<\/li>\n<li><strong>98\u00a0% Total Analytic Coverage\u00a0<\/strong>(140 von 143 Angriffsunterschritten)<\/li>\n<li><strong>99\u00a0% Analytic Coverage for \u201cCarbon\u201d<\/strong>\u00a0(75 von 76 Angriffsunterschritten)<\/li>\n<li><strong>97\u00a0% Analytic Coverage for \u201cSnake\u201d<\/strong>\u00a0(65 von 67\u00a0Angriffsunterschritten)<\/li>\n<\/ul>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-465032 size-full\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Results.png\" sizes=\"auto, (max-width: 1430px) 100vw, 1430px\" srcset=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Results.png 1430w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Results.png?resize=300,159 300w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Results.png?resize=768,406 768w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Results.png?resize=1024,541 1024w\" alt=\"\" width=\"1430\" height=\"756\" \/><\/p>\n<p>Eine vollst\u00e4ndige \u00dcbersicht \u00fcber unserer Ergebnisse finden Sie auf der\u00a0<a href=\"https:\/\/attackevals.mitre-engenuity.org\/results\/enterprise?vendor=sophos&amp;evaluation=turla&amp;scenario=1\" target=\"_blank\" rel=\"noopener\">MITRE-Engenuity-Ergebnisseite f\u00fcr Sophos<\/a>.<\/p>\n<h2>Wie hat Sophos im Vergleich zu anderen Teilnehmern abgeschnitten?<\/h2>\n<p>Wir m\u00f6chten nochmals betonen, dass es diverse Interpretationsm\u00f6glichkeiten der \u201eMITRE Engenuity ATT&amp;CK Evaluations\u201c-Ergebnisse gibt. In den kommenden Tagen und Wochen werden Sie vermutlich unz\u00e4hlige von verschiedenen Anbietern erstellte Diagramme, Grafiken und andere Visualisierungen sehen, in denen die Ergebnisse auf unterschiedliche Weise dargestellt werden (einige glaubw\u00fcrdiger als andere).<\/p>\n<p>Eine der g\u00e4ngigsten Methoden, die Ergebnisse der ATT&amp;CK-Bewertung auf Makroebene anzuzeigen, besteht jedoch darin, die Visibility (die Gesamtzahl der Unterschritte, die eine Erkennung generiert haben) und die Analytic Coverage (die Gesamtzahl der Erkennungen, die umfassende Details \u00fcber das Verhalten des Angreifers geliefert haben) zu vergleichen:<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-465033 size-full\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Chart.png\" sizes=\"auto, (max-width: 862px) 100vw, 862px\" srcset=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Chart.png 862w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Chart.png?resize=300,252 300w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Chart.png?resize=768,645 768w\" alt=\"\" width=\"862\" height=\"724\" \/><\/p>\n<h2>Die Erkennungskategorien von MITRE ATT&amp;CK<\/h2>\n<p>In diesem Jahr hat das ATT&amp;CK-Evals-Team die Anzeige der Teilnehmerergebnisse im Bewertungsportal komplett \u00fcberarbeitet, sodass es jetzt einfacher denn je ist, Erkennungskategorien f\u00fcr jeden Schritt und Unterschritt des Angriffsszenarios einzusehen.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" class=\"aligncenter wp-image-465034 size-full\" src=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Categories.png\" sizes=\"auto, (max-width: 1628px) 100vw, 1628px\" srcset=\"https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Categories.png 1628w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Categories.png?resize=300,156 300w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Categories.png?resize=768,400 768w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Categories.png?resize=1024,533 1024w, https:\/\/news.sophos.com\/wp-content\/uploads\/2023\/09\/Categories.png?resize=1536,799 1536w\" alt=\"\" width=\"1628\" height=\"847\" \/><\/p>\n<p>Die Erkennungsqualit\u00e4t ist entscheidend, um Analysten detaillierte Informationen zum Verhalten des Angreifers zu liefern, damit Analysen und Reaktionsma\u00dfnahmen schnell und effizient durchgef\u00fchrt werden k\u00f6nnen.<\/p>\n<p><strong>Zu den Erkennungskategorien geh\u00f6ren:<\/strong><\/p>\n<ul>\n<li>Nicht zutreffend\u00a0\u2013 es gab keine Erkenntnisse (wird normalerweise in Situationen verwendet, in denen der Teilnehmer sich abgemeldet hat oder diesen Teil der Bewertung nicht abschlie\u00dfen konnte)<\/li>\n<li>Keine\u00a0\u2013 es wurde nichts erkannt<\/li>\n<li>Telemetrie\u00a0\u2013 es wurden Aktivit\u00e4ten beobachtet, die jedoch nicht identifiziert werden konnten; es wurde kein Kontext zur Verf\u00fcgung gestellt<\/li>\n<li>Allgemein\u00a0\u2013 es wurde ein ungew\u00f6hnliches Ereignis erkannt, aber es gibt keinen Kontext dazu, warum oder wie; das \u201eWAS\u201c<\/li>\n<li>Taktik\u00a0\u2013 die Erkennung umfasst Informationen \u00fcber die potenziellen Absichten des Angreifers; das \u201eWARUM\u201c<\/li>\n<li>Technik\u00a0\u2013 die Erkennung umfasst Informationen \u00fcber die Methode des Angreifers zum Erreichen eines Ziels; das \u201eWIE\u201c<\/li>\n<\/ul>\n<p>Als \u201eAllgemein\u201c, \u201eTaktik\u201c oder \u201eTechnik\u201c klassifizierte Erkennungen werden unter der Definition \u201eAnalytic Coverage\u201c gruppiert. Dabei handelt es sich um ein Ma\u00df f\u00fcr die F\u00e4higkeit des EDR-Tools, Telemetriedaten in verwertbare Bedrohungserkennungen umzuwandeln.<\/p>\n<h2>Verwendung der \u201eMITRE Engenuity ATT&amp;CK Evaluation\u201c-Ergebnisse<\/h2>\n<p>ATT&amp;CK-Bewertungen geh\u00f6ren zu den weltweit angesehensten unabh\u00e4ngigen Sicherheitstests, was zum gro\u00dfen Teil auf die durchdachte Konstruktion realer Angriffsszenarien, die Transparenz der Ergebnisse und die F\u00fclle der Teilnehmerinformationen zur\u00fcckzuf\u00fchren ist. Bei der Auswahl einer EDR- oder \u201eExtended Detection and Response (XDR)\u201c-L\u00f6sung sollten die \u201eATT&amp;CK Evaluation\u201c-Ergebnisse zweifellos zusammen mit anderen unabh\u00e4ngigen Nachweisen, einschlie\u00dflich <a href=\"https:\/\/www.gartner.com\/reviews\/market\/endpoint-protection-platforms\/vendor\/sophos\/product\/sophos-intercept-x-endpoint\" target=\"_blank\" rel=\"noopener\">verifizierter Kundenrezensionen<\/a> und <a href=\"https:\/\/www.sophos.com\/de-de\/press\/press-releases\/2023\/03\/sophos-named-leader-2022-gartnerr-magic-quadranttm-endpoint-protection\" target=\"_blank\" rel=\"noopener\">Analystenbewertungen<\/a>, ber\u00fccksichtigt werden.<\/p>\n<p>Bei Durchsicht der im Bewertungsportal von MITRE Engenuity verf\u00fcgbaren Daten sollten Sie nicht nur die reinen Zahlen, sondern auch die folgenden Aspekte in Bezug auf Ihre Kunden ber\u00fccksichtigen. Und beachten Sie, dass die ATT&amp;CK Evaluation nicht alle Fragen f\u00fcr Sie beantworten kann.<\/p>\n<ul>\n<li>Hilft das Tool beim Erkennen von Bedrohungen?<\/li>\n<li>Werden Ihnen Informationen wie gew\u00fcnscht pr\u00e4sentiert?<\/li>\n<li>Wer soll das Tool nutzen? Tier-3-Analysten? IT-Spezialisten oder Systemadministratoren?<\/li>\n<li>Wie erm\u00f6glicht das Tool Threat Hunts?<\/li>\n<li>Werden unterschiedliche Ereignisse korreliert? Erfolgt dies automatisch oder m\u00fcssen Sie selbst aktiv werden?<\/li>\n<li>Kann das EDR\/XDR-Tool mit anderen Technologien in Ihrer Umgebung verkn\u00fcpft werden (z.\u00a0B. Firewall, E-Mail, Cloud, Identity, Netzwerk usw.)?<\/li>\n<li>Planen Sie, das Tool selbst zu bedienen, oder wollen Sie die Unterst\u00fctzung eines Managed Detection and Response (MDR)-Partners in Anspruch nehmen?<\/li>\n<\/ul>\n<h2>Warum wir teilnehmen<\/h2>\n<p>Abschlie\u00dfend m\u00f6chten wir zum Ausdruck bringen, wie stolz wir darauf sind, dass wir gemeinsam mit einigen der branchenweit besten Sicherheitsanbieter an der MITRE Engenuity ATT&amp;CK Evaluation teilnehmen durften. Ja, wir konkurrieren auf kommerzieller Ebene miteinander, aber wir sind zuallererst auch eine Gemeinschaft, die in vereinter Front gegen einen gemeinsamen Feind k\u00e4mpft. Wir nehmen an diesen Bewertungen teil, weil sie uns selbst und die gesamte Gemeinschaft verbessern. Und das ist ein Gewinn f\u00fcr die gesamte Branche und die Unternehmen und Organisationen, die wir sch\u00fctzen.<\/p>\n<h2>Mit Ihren Kunden teilen<\/h2>\n<p><span data-contrast=\"none\">Sophos Intercept\u00a0X mit Sophos XDR kombiniert Active Adversary Mitigations\u00a0<\/span><span data-contrast=\"none\">\u2013 einschlie\u00dflich der branchenweit ersten <\/span><a href=\"https:\/\/vimeo.com\/813614946\/28094f5214\"><span data-contrast=\"none\">Adaptive Attack Protection<\/span><\/a><span data-contrast=\"none\">, die <\/span><span data-contrast=\"none\">bei Erkennung eines manuell gesteuerten Angriffs erh\u00f6hte Abwehrmechanismen aktiviert\u00a0\u2013 entscheidungsrelevante Daten zum Angriffskontext und Threat Intelligence in einer intuitiven Detection- und Response-Plattform.\u00a0<\/span><span data-ccp-props=\"{&quot;134233117&quot;:false,&quot;134233118&quot;:false,&quot;201341983&quot;:0,&quot;335559738&quot;:0,&quot;335559739&quot;:0,&quot;335559740&quot;:276}\">\u00a0<\/span><\/p>\n<p>Erfahren Sie mehr \u00fcber\u00a0<a href=\"https:\/\/www.sophos.com\/de-de\/products\/endpoint-antivirus\" target=\"_blank\" rel=\"noopener\">Sophos Intercept\u00a0X<\/a> und <a href=\"https:\/\/www.sophos.com\/de-de\/products\/endpoint-antivirus\/xdr\" target=\"_blank\" rel=\"noopener\">Sophos XDR<\/a>, nutzen Sie unsere <a href=\"https:\/\/partners.sophos.com\/prm\/German\/c\/selling-sophos-intercept-x\" target=\"_blank\" rel=\"noopener\">Vertriebs- und Marketingmaterialien<\/a> und lesen Sie den <a href=\"https:\/\/attackevals.mitre-engenuity.org\/enterprise\/turla\/\" target=\"_blank\" rel=\"noopener\">vollst\u00e4ndigen Report<\/a>.<\/p>\n<p>Wenn Sie diese spannenden Neuigkeiten mit Ihren Kunden teilen m\u00f6chten, besuchen Sie unser Partner-Portal und laden Sie dort unsere <a href=\"https:\/\/partners.sophos.com\/prm\/German\/s\/assets?collectionId=20397&amp;q=MITRE%20\" target=\"_blank\" rel=\"noopener\">E-Mail-Vorlage<\/a> herunter.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Unser Feedback zu dieser Runde von ATT&amp;CK Evaluations und wie Sophos 99\u00a0% der realen Bedrohungsaktivit\u00e4ten aufdeckte.<\/p>\n","protected":false},"author":11,"featured_media":3000006666,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_jetpack_memberships_contains_paid_content":false,"footnotes":""},"categories":[80],"tags":[33,199,39,112,109],"coauthors":[45],"class_list":["post-6670","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-resources","tag-intercept-x","tag-mitre-attck","tag-rezensionen","tag-sophos-endpoint","tag-sophos-xdr"],"jetpack_featured_media_url":"https:\/\/partnernews.sophos.com\/en-us\/wp-content\/uploads\/sites\/3\/2023\/09\/featured-image-MITRE-Turla.png","jetpack_sharing_enabled":true,"_links":{"self":[{"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/posts\/6670","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/users\/11"}],"replies":[{"embeddable":true,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/comments?post=6670"}],"version-history":[{"count":1,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/posts\/6670\/revisions"}],"predecessor-version":[{"id":7922,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/posts\/6670\/revisions\/7922"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/media?parent=6670"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/categories?post=6670"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/tags?post=6670"},{"taxonomy":"author","embeddable":true,"href":"https:\/\/partnernews.sophos.com\/de-de\/wp-json\/wp\/v2\/coauthors?post=6670"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}