En son MITRE ATT&CK® Enterprise Evaluation’daki gizli hazine, Detection & Response’u “satmak” için baskı altında olan satıcıların manşetlerinde değil, özetlerde ve derinlemesine verilerde yatmaktadır. Zeki okuyucular bile ağaçları görmekten ormanı göremeyebilir ve yalnızca bireysel performansları ve henüz açıklanmamış puanları, yeteneklerinin tek temsilcisi olan ölçüt olarak görebilir. Ancak, değerlendirmeler ve MITRE’nin özetleri tam da açıklanmak amacıyla yapılmıştır, değeride buradadır.
NOT: Bu blog yazısında ifade edilen görüş ve fikirler ESET’e aittir ve MITRE Corporation’ın görüşlerini veya tutumunu yansıtmayabilir.
Bu yıl MITRE, satıcıları iki düşman emülasyonu ile karşı karşıya getiriyor. İlki, Demeter (görünüşte Scattered Spider), sosyal mühendislik teknikleriyle tanınan yüksek tempolu bir düşmana odaklandı. Hermes (muhtemelen Mustang Panda – ESET APT Raporlarında sıkça adı geçen bir şüpheli) ise hızla gelişen yeteneklere sahip, devlet destekli bir siber casusluk grubunu simüle eden ikinci senaryoydu. Bu iki senaryo, katılımcı satıcıların uzmanlığını test etti ve değerlendirilen her bir ürünün analistlerin görevlerini nasıl desteklediğini mükemmel bir şekilde gösterdi.
ESET bu yıl iyi bir performans gösterdi, ancak değerlendirmeler EDR ve XDR kullanıcılarının anlayışını pekiştirmeye yönelik, madalya dağıtmaya değil. Beş yıl boyunca değerlendirmelere yatırım yaptıktan sonra, çıktının deneyimli içeriden kişiler için bile zor olan büyük miktarda veri ve içgörü içerdiğini biliyoruz. EDR veya XDR kullanıyorsanız veya satın alıyorsanız, gereksiz bilgileri ayıklayıp gerçekten değerli bilgilere ulaşmak için bazı önerilerimiz var.
Bu makalenin ana hatları:
- ESET, test edilen her iki emülasyon senaryosunda da iyi performans gösterdi ve %100 koruma puanımız, önleme odaklı yaklaşımımızın önemini vurguluyor. Testte, saldırıları en erken aşamada hızla engelleyerek, katılan dokuz satıcı arasında birinci sırayı paylaştık.
- Kritik analist pivotları için düşük gürültü ve doğru boyutlu hacmi önceliklendiren ESET PROTECT, her iki saldırı emülasyonunda da %66,67’lik algılama puanı ile en hızlı algılama sürelerini sağladı.
- MITRE’nin değerlendirmesinin değeri, güvenlik analistlerine tarafsız bir rehberlik sunan ve tedarikçilerle ilgili anlayışlarını ve algılama ve yanıt platformlarını sorgulayan sonuçlarda yatmaktadır.
- Satıcılar için, çözümleri emüle edilmiş saldırılarda güncel tehditlere karşı profesyonel olarak doğrulanmıştır.
- Toplu sonuç, tehdit ortamını, özellikle de TTP’leri tercüme etmek için kullanılan analist araç setlerinin daha iyi anlaşılmasıdır.
- Değerlendirmeler, her şeyden önce, farklı satıcı yaklaşımlarının, EDR/XDR, sanal alan veya ağ görünürlüğü gibi MITRE değerlendirmesinde kullanılan her test edilmiş çözüm aracılığıyla bir kuruluşun siber dayanıklılığını nasıl iyileştirebileceğini göstermektedir.
MITRE ATT&CK® Evaluations Enterprise 2025 nedir?
Tehdit aktörlerinin Taktikleri, Teknikleri ve Prosedürleri (TTP’ler) hakkında bilgi eksikliği yoktur. Analistlerin rolü, kendi bilgi ve deneyimlerini bu içgörülerle birleştirmek ve ellerindeki araçları kullanmaktır. Bu araçlar arasında merkezi bir istihbarat platformu, EDR/XDR, SIEM/SOAR ve benzeri araçlar bulunur.
Ancak koruma sağlamak için birden fazla yol vardır ve her uç nokta güvenlik çözümü işini farklı şekilde yapar. Her sağlayıcı, kendi telemetri/algılamalarını sunmak için kendi yöntemlerine ve yaklaşımlarına sahiptir, bu nedenle analistlerin kendilerine uygun olanı bulmaları, ilgilenmeleri ve ardından o benzersiz ortam hakkındaki bilgilerini o araç setinin istenen avantajlarıyla birleştirmeleri biraz zaman alır.
MITRE ATT&CK Değerlendirmeleri, EDR/XDR araçlarının kötü amaçlı senaryoları nasıl ele aldığını ve katılımcı her bir satıcının yeteneklerini ve sınırlamalarını mümkün olduğunca şeffaf bir şekilde haritalandırarak çözmeyi amaçlamaktadır. Bir tehdidi analiz etmenin “doğru” bir yolu yoktur; her şey analist için bir aracın uygunluğuna bağlıdır.
2025, MITRE için bir değişim yılıdır
Bu yıl, 2024’te getirilen önemli değişikliklere dayanan format, ayrı koruma testini de koruyor.
Bu önemli, çünkü herhangi bir EDR aracı tespit yapabilir, ancak önemli olan bu tespitlerin ve uyarıların içeriğidir. Evet, tespit görünürlüğü, düşmanların kesintisiz olarak davranışlar sergilemelerine izin verilerek kapsamlı bir şekilde test edildi. Bu, katılımcıları tespitlerini MITRE ATT&CK bilgi tabanıyla karşılaştırmaya zorladı. Bu yaklaşım, tüm EDR/XDR’lerin sunduğu güncel tehdit ortamını ve temel işlevleri yansıtmalıdır.
Soru, testin bireysel çözümler tarafından kullanılan benzersiz gerçek dünya telemetrisinin gerisinde kalıp kalmadığıdır.
MITRE Değerlendirmesi, siber güvenlik pazarında önemli bir rol oynar ve kalite kontrol kapısı ve endüstri standardı olarak hizmet eder. Birçok şirket ve yüklenici, tedarikçileri incelemek için bu değerlendirmeleri kullanır ve bu da algılanan bir “sertifika” eksikliği nedeniyle isteksiz katılımcıların önemli potansiyel anlaşmaları kaçırmasına neden olur.
Koruma değerlendirmesi, engellemenin etkinliğini ve nihayetinde — ESET’in önleme odaklı yaklaşımına çok benzer şekilde — saldırılar büyük zarar vermeden önce durdurulmasını sorgulamıştır. Bunun için tüm koruma mekanizmaları etkinleştirilmiş ve katılımcılardan, kritik saldırı noktalarına ulaşmadan önce gelişmiş kötü amaçlı saldırıları tespit etme ve gerçek zamanlı olarak önleme becerilerini göstermeleri istenmiştir.
Algılama zorluğu, katılımcıların ilk çalıştırmanın ardından ürünlerini değiştirebilecekleri bir yapılandırma değişikliğinin dahil edilmesiyle de farklılık gösterdi. SOC’ler, sürekli değişen tehdit ortamına uyum sağlamak için ortamlarını sürekli olarak yeniden yapılandırır ve bu nedenle, tedarikçilerin yapılandırma değişikliklerini kolayca (gerçekleştirme/test etme) seçeneğine sahip olup olmadıklarını test etmek, bunu yansıtması beklenir.
ESET’in performansını yorumlamak: Bir rehberlik, bir yarış değil
Başlangıçta bahsedilen açılımına geri dönelim. Bir yandan ESET, ESET PROTECT’in koruma puanının %100 olduğunu ve mümkün olan en iyi sonuç olduğunu veya algılama oranının önemli bir görünürlük sağladığını söyleyebilir — aktif bir analist için bu hesaplama, ihtiyaç duydukları kadar fazla bilgi sağlamayabilir, ya da sağlar mı? Tersine, başka bir satıcı daha iyi bir algılama puanı elde ettiğini söyleyebilir… ancak bu da hikâyenin tamamını anlatmaz.
Bu, ESET’in önlemeye (büyük ölçüde algılamalara bağlı) bu kadar odaklanmasının bir nedenidir ve 2024’te koruma ölçümü tanıtıldığından beri, MITRE katılımcılarının yalnızca üçte ikisinin genel olarak değerlendirmenin bu kısmını tercih etmesinin tuhaf olmasının bir nedenidir. Koruma senaryosunda kullanılanlar gibi saldırıları otomatik olarak engelleyerek, ürününüz güvenlik ekiplerinin siber dayanıklılığı daha da güçlendiren stratejik görevlere odaklanmasını sağlar.
Öte yandan, bazı analistler tespit performansına odaklanmaktadır. %100 tespit puanı elde edebilirsiniz (ESET’in puanı %66,67’dir), ancak tüm bu telemetri verileri ilgili veya eşit mi?
Hayır. Testlerde belirli TTP’ler daha yüksek bir ciddiyet taşır ve bu nedenle tespit puanları üzerinde daha ağır bir ağırlık/etkiye sahiptir. Beş yıldır değerlendirmelere katılan ESET PROTECT mühendislerimiz, ATT&CK bilgi tabanının tam kapsamını takip etmekten kaçınmıştır. Nedeni nedir? ATT&CK bilgi tabanına göre bir saldırganın modus operandi’sini %100 etiketlemek, savunmayı iyileştirmez veya güvenlik analistlerinin günlük çalışmalarında otomatik olarak yardımcı olmaz.
Daha önemli olan, düşük ama yine de önemli bir hacimdir. Algılama ve yanıt, işi yapmak için yalnızca yaygın veya ciddi tekniklerin (veya alt adımların) yeterli kapsamını gerektirir. Bundan fazlası, analistleri aşırı yükleme riski taşır. Yaygınlığı düşük veya ciddiyeti düşük tekniklerin algılanmaması, mutlaka daha düşük koruma anlamına gelmez. Tam tersine, saldırıyı tanımlamak için gerekli olan ana adımlar hemen vurgulanarak zamanında ve uygun bir yanıtın tetiklenmesine olanak sağladığından, işlerin kolaylaşması ve düzeltmenin daha hızlı olması anlamına gelebilir — bazı durumlarda, algılanan tehdidin otomatik olarak engellenmesi bile mümkündür.
2025 testleri sırasında ESET PROTECT, tespit ettiği olayları ilgili tespitlerle otomatik olarak doldurdu ve hayali ağdaki en önemli düşman faaliyetlerini içeren uyarılar verdi. Bu da senaryo başına çok iyi korelasyonlu ve düşük hacimli bir performansla sonuçlandı (Hermes senaryosunda sadece bir olay vardı!). Bu, sadece önemli olan şeylere odaklanmak ve karmaşaya kurban gitmek istemeyen analistler için büyük bir avantajdır.
Evet, MITRE bunları test eder. Satıcıların bu testlere katılmasının nedenlerinden biri, topladıkları bilgi birikimini algılama motorlarını geliştirmek için kullanabilmeleridir, ancak devam eden bir saldırıyı durdurmak için baskı altında olan bir siber güvenlik analisti, ayrıntılara odaklanmayacaktır. Bunun yerine, bir sonraki adımlarını belirlemek için XDR (en iyisi otomatik olarak) tarafından organize edilen, genellikle en ciddi ve anlamlı algılamalardan oluşan açık ve net bir uyarıya ihtiyaç duyarlar.
Savaşı kazanmak, savaşı kaybetmek
En son MITRE Değerlendirmesini “kazandığını” iddia eden katılımcılar eksik olmayacaktır.
ESET’in Teknoloji Direktörü Juraj Malcho, “MITRE hiçbir zaman kazananlar ve kaybedenler hakkında olmamıştır” diyor. “Pazarlama konuşmaları bir zaferi iddia edebilir, ancak gerçek dünyada, gerçek güvenlik analistlerinin karşılaştığı dünyada aslında kaybetmiş olabilirsiniz. Sistemlerinde meydana gelen her olayı kaydetmeleri gerekmez. ATT&CK bilgi tabanıyla eşleşip eşleşmemelerine bakılmaksızın, zaten başa çıkmaları gereken yeterince kargaşa var. Önemli olan, doğru tespit korelasyonları ve daha fazla araştırma için şüpheli etkinlikleri işaretlemektir.”
Herhangi bir tedarikçiyi değerlendirirken dikkate alınması gereken bir diğer husus, algılama mantığı oluşturma, yani (yeniden) yapılandırma konusunda iyi sonuçlar elde edilmesidir. ESET PROTECT’in bu konudaki esnekliği, çözümün algılama mantığını yeniden yapılandırma yeteneği sayesinde, her senaryonun ilk çalıştırılmasından sonra ilgili kör noktaları iyi bir şekilde kapsamayı sağladı ve tedarikçinin varsaydığı yapay temel çizgisini aştı. Gerçek dünyada, analistler ESET PROTECT’in mantığını ortamlarının ihtiyaçlarına göre uyarlayabilir ve sektörlere özgü tehditlerle başa çıkmak için şekillendirebilirler.
MITRE’nin araçlarını kullanarak kendi değerlendirmenizi yapın
Neyse ki, MITRE’nin web sitesi her senaryo ve ilgili adımlar (kullanıcı yürütme gibi) ve alt adımlar (kötü amaçlı bağlantı) hakkında kapsamlı bir görünüm sunar. Bu görünüm, satıcıların çözümlerinin kullanıcı deneyimi veya arayüzlerinden toplanan ve analistlere bilgileri nasıl sunduklarını/hizmet ettiklerini ayrıntılı olarak gösteren görüntülerle de desteklenir. Örneğin, algılamaları ATT&CK bilgi tabanıyla ilişkilendirme, çeşitli değiştiriciler ve satıcıları tek bir görünümde doğrudan karşılaştırma yöntemleri gibi.
ESET, okuyucularımıza MITRE ATT&CK® Evaluations Enterprise 2025 sayfasına gitmelerini ve katılan her satıcının testlerini sadece varsayımlarını test etmek için değil, aynı zamanda her birinin sağladığı değeri doğrulamak için de bir kılavuz olarak yorumlamalarını önerir.
Reaktif değil, proaktif olun
Soru: ESET, bu yılki MITRE sonuçlarının diğer katılımcıları gölgede bırakacak kadar iyi olduğunu iddia etmeli mi? Hayır. Değerlendirmelerin amacı bu değildir.
MITRE ATT&CK Enterprise Evaluations sadece başka bir test değil, mühendislerin, ürün Ar-Ge’sinin, CISO’ların ve diğerlerinin anlayışını yönlendiren ayrıntılı içgörüler ortaya çıkarmak için tasarlanmış bir dizi testtir. MITRE, satıcıları araçlarını iyileştirmeye teşvik eder, tıpkı tanıdık bir konu hakkında yeni bakış açıları arayan bir yazar veya farklı bir sağlayıcıdan başka bir beslemeyi istihbarat platformuna entegre eden bir izleme uzmanı gibi. Değerlendirme, kuruluşlarını korumak için EDR, XDR ve benzeri araçları kullanan siber güvenlik analistleri içindir. Algılama ve yanıt faaliyetleri için kullandıkları araç setini şekillendirmek veya yeniden şekillendirmek isteyenler için özellikle yararlıdır.
Siber güvenlik tedarikçileri ve MITRE’nin testi hakkındaki kişisel anlayışınızı sınamak istiyorsanız, sonuçlar sayfasını inceleyebilirsiniz. Ancak unutmayın, bu bir rekabet değil, içgörü ile ilgilidir.
Şirket bilgileri içeren paylaşımlar neden risklidir?
