Die neue Managed-Service-Bewertung von Mitre für MDR, mit Fokus auf "Detection", ist da.

WithSecure - und davor F-Secure - verfügt mittlerweile über eine mehrjährige Erfahrung mit MITRE Engenuity ATT&CK® Evaluierungen. Unsere Elements EDR-Technologie - die auch Countercept MDR unterstützt - haben alle vier Runden durchlaufen.

Die ATT&CK-Bewertungen sind eine wichtige Referenz für Verteidiger und Anwender. Auch für uns sind sie eine gute Möglichkeit zur qualitativen Positionsbestimmung. Wir können natürlich einschätzen, was unsere Tools und Services leisten, zusätzlich erhalten wir auch sehr wertvolles Feedback von unseren Kunden, aber ein zusätzlicher, unabhängiger Blickwinkel ergänzt das noch einmal auf hervorragende Weise.

Als MITRE Engenuity ankündigte, Managed Services zu bewerten, meldeten wir uns umgehend an. Die Ergebnisse liegen nun vor, und wir haben eine Menge auszuwerten und zu verarbeiten.

Das Ziel ist, wie auch bei den vorangegangenen ATT&CK-Bewertungen, die Leistungsmerkmale der teilnehmenden Anbieter darzustellen – und nicht einen "Gewinner" zu küren. Denn es sind unterschiedliche Services die nicht einfach gegenübergestellt werden können, schliesslich sind sie auch für die unterschiedlichsten Einsatzzwecke konzipiert worden.

Wir empfehlen allen, die einen Managed Security Service in Betracht ziehen, sich die gesamten Ergebnisse auf der Website von MITRE Engenuity anzusehen und sich kritisch sowohl mit diesen Ergebnissen als auch mit den Bewertungskriterien zu beschäftigen, bevor sie eine Entscheidung treffen.

Bei MITRE Engenuity ist wohl zu erwarten, dass man schon jetzt heftig darüber nachdenkt, wie sich die Bewertung der Managed Services im Jahr 2023 auf ein noch höheres Level bringen lässt. Auch wir haben darüber nachgedacht, wie die Bewertungen beim nächsten Mal optimiert werden könnten. Das Ergebnis stellen wir Ihnen im Folgenden vor.

• Die Ergebnisse zeigen eine gute Performance unserer Detection (Erkennung) und unseres Service-Layers. 
  
• Wir fänden bei der nächsten Bewertungsrunde von MITRE Engenuity ein komplexeres Szenario sehr interessant. 
• Der Bewertungsansatz berücksichtigt leider weder die Rechtzeitigkeit von Eskalationen noch den damit verbundenen Kontext. Diese Schwächen werden viele Nutzer ebenfalls feststellen. 
• Eindämmung und Behebung waren nicht Gegenstand der Prüfung, aber diese Reaktionsphasen (Response) sind für die Beseitigung der von einem bösartigen Akteur ausgehenden Bedrohung unerlässlich. 
• Wir schneiden verglichen mit unseren Mitbewerbern gut ab, aber wir sind noch nicht ganz sicher, dass die Bewertungen von Mitre eine echte Qualitätsdifferenzierung zwischen den Serviceanbietern ermöglichen. 

Verfeinerung der Simulation

Die Simulation war eher einfach gestrickt: Sie bot nicht die Raffinesse, die man von einem professionellen Angreifer erwarten würde. Ein bisschen mehr Gerissenheit, wäre sehr wünschenswert – vielleicht einige Speicherinjektionstechniken oder die Verwendung eines hochentwickelten, komplizierten C2-Frameworks. Diese Art Täuschungsmanöver würde eine bessere Einschätzung dessen erlauben, womit zu allem entschlossene Typen im Netz heute einen Benutzer konfrontieren. 

Schiere Masse heißt noch längst nicht mehr Substanz

Der Bewertungsmechanismus war dem der EDR-Bewertung sehr ähnlich; die Fülle der Eingaben wurde offenbar als Qualitätsmerkmal gewertet. Die Punktzahl erhöhte sich durch die Auflistung aller auf den Rechnern aufgetretenen Vorfälle, unabhängig von ihrer Relevanz – vorausgesetzt, sie wurden aufgelistet. Nun ist ja bekannt (und wird manchmal überbetont), dass eine hohe Anzahl von Falsch-Positiv-Meldungen nicht gut ist, aber das Gleiche gilt auch für die Auflistung echter positiver Vorfälle, bei denen man auch einfach alles aufzählt, um zu sehen, was am Ende übrig bleibt.

In der tatsächlichen Praxis ist jedoch die Zahl der Vorfälle, bei denen wir Berichte mit dieser Detailtiefe hatten, minimal. Es ist auch kaum zu vermitteln, inwiefern – nur als Beispiel – die Nichtauflistung eines netstat-Befehls etwas über die Effektivität eines MDR-Anbieters aussagt.

Die Bewertung der Qualität von MDR

Die Qualitätsbewertung spiegelt nicht die Art von Bedenken wider, die wir regelmäßig von Organisationen und Unternehmen hören, die sich für MDR interessieren.

Unserer Erfahrung nach sind folgernde Punkte für die Kunden am wichtigsten:

• rechtzeitige Detection (Erkennung)

• rechtzeitige Benachrichtigung

• Erläuterungen und Kontext für die weniger technischen Personen

• fundierte Hinweise zur Abhilfe, Eindämmung und Wiederherstellung

• einheitliche Kommunikation während des gesamten Zwischenfalls.

In dieser Bewertungsrunde wurden die genannten Aspekte nicht streng beurteilt, wobei es sich aber um Kriterien handelt, die unsere Kunden durchweg für die Detection (Erkennung), wenn nicht sogar für die Bewertung verwenden. Wir können uns an keinen Fall erinnern, in dem es sich beim Kunden auf seine Wahrnehmung der Servicequalität ausgewirkt hätte, dass nicht jede Bearbeitungszeile aufgeführt war.

Rechtzeitigkeit und Effektivität der Hinweise

Dass man erst am Ende der Woche eine Momentaufnahme der erfassten Tickets erhält (eins der Merkmale dieser Bewertung), passt nicht recht zu der Art, wie wir die Arbeit bei Kunden, uns selbst und anderen MDR-Anbietern erleben. Aktivitäten, die an einem Montag ausgeführt und am selben Tag gemeldet werden, sind für die Verteidiger deutlich wertvoller, als wenn diese Aktivitäten erst am Samstag gemeldet werden.

Im Endeffekt geht es den Kunden darum, über solide Maßnahmen zur Behebung und Wiederherstellung zu verfügen. Das zu berücksichtigen, würde unserer Meinung nach das Bewertungsschema verbessern.

Abgesehen davon liefert diese Bewertung jedoch eine Reihe wertvoller Datenpunkte und Erkenntnisse, die es vorher nicht gab. Die Wirksamkeit von Countercept Managed Detection and Response wurde nachgewiesen und der Aufbau einer Reihe von Bewertungskriterien und Tests begonnen, mit denen Erkenntnisse gewonnen werden können, über die bisher kaum unabhängige Informationen vorlagen.

Die Ergebnisse der fünften MITRE Engenuity ATT&CK-Bewertung werden demnächst veröffentlicht - und wir freuen uns darauf, im Jahr 2023 an einer weiteren Runde von Managed-Service-Bewertungen teilzunehmen.

Dazu passend an dieser Stelle der aktuelle Hinweis, dass wir mit Europe-Only Countercept MDR jetzt auch die europäischen Anforderungen an die Datenresidenz und die Bedürfnisse der Nutzer erfüllen können.