This post is also available in: English (Inglés) 简体中文 (Chino simplificado) 繁體中文 (Chino tradicional) Français (Francés) Deutsch (Alemán) Italiano 日本語 (Japonés) 한국어 (Coreano) Português (Portugués, Brasil)
Cortex XDR ha hecho historia en las evaluaciones MITRE ATT&CK de este año al coronarse como el primer participante desde que se empezaron a realizar las pruebas en lograr una detección del 100 % con detalle a nivel de técnica en todos los pasos del ataque simulado. Las detecciones a nivel de técnica se consideran el modelo de referencia de la detección y proporcionan a los analistas de seguridad la información exacta que necesitan para identificar un ataque. Por segundo año consecutivo, Cortex XDR alcanzó también una detección del 100 % sin cambios de configuración ni retrasos, demostrando así una consistencia inigualable.
Cortex XDR obtuvo la tasa de prevención más alta entre todos los proveedores sin generar falsos positivos, un factor distintivo crucial en materia de seguridad del endpoint, ya que, en la fase de prevención, basta un solo falso positivo para interrumpir los procesos empresariales legítimos, con el consiguiente impacto negativo en la productividad.
La evaluación de este año ha sido la más rigurosa hasta la fecha, con la incorporación de pruebas de falsos positivos, entornos macOS y más situaciones de ataque en Linux. Esto echó para atrás a varios proveedores destacados, con lo que el número de participantes pasó de 29 a 19. De los proveedores evaluados, dos tercios detectaron menos del 50 % de los pasos de los ataques, prueba una vez más de lo mucho que ha subido el nivel de exigencia en la evaluación de este año.
No hay palabras para expresar lo orgullosos que estamos de nuestros increíbles equipos de ingeniería e investigación de amenazas por ofrecer una seguridad del endpoint excepcional que permite a nuestros clientes adelantarse a los adversarios, como los que se simularon en esta evaluación.
Cortex XDR: la seguridad del endpoint con el mejor rendimiento del sector en la 6.ª ronda de MITRE ATT&CK
En esta evaluación, Cortex XDR sobresalió tanto en las situaciones de detección como en las de prevención. La solución sienta así una nueva base para la seguridad del endpoint y cambia las reglas en cuanto a lo que las organizaciones deberían esperar de sus productos de ciberseguridad.
En las tres situaciones de detección, Cortex XDR hizo historia al convertirse en el primer proveedor en lograr una detección del 100 % a nivel de técnica en todos los pasos de los ataques simulados sin ningún cambio de configuración ni ningún retraso en la detección. Estos resultados dejan claro nuestro compromiso con ofrecer los mecanismos de defensa más robustos para todos los principales sistemas operativos: Windows, macOS y Linux.
Las evaluaciones MITRE ATT&CK también ponen a prueba la prevención con el objetivo de medir la capacidad de las soluciones de bloquear los ataques antes de que causen ningún daño. Este es, al fin y al cabo, el principio en el que se basa la seguridad del endpoint en situaciones reales: prevenir lo máximo posible y detectar todo lo demás con rapidez y precisión.
En la 6.ª ronda, Cortex XDR fue capaz de prevenir 8 de los 10 pasos de ataque sin generar ningún falso positivo. Esto es importante porque, en la fase de prevención, los falsos positivos pueden interrumpir operaciones empresariales críticas, lo que podría traducirse en pérdidas económicas significativas. La capacidad de Cortex XDR de ofrecer la prevención más precisa que existe sin provocar ninguna interrupción la convierte en la solución de seguridad del endpoint perfecta para las organizaciones más grandes y exigentes del mundo.
A pesar de que, en dos de los pasos de ataque de la prueba de prevención, la respuesta de nuestra solución no cumplía los requisitos necesarios para que MITRE la considerase un bloqueo de la amenaza, las acciones que realizó durante estos pasos habrían protegido igualmente a nuestros clientes y evitado una brecha.
- En el tercer paso, en el ataque se trató de establecer una conexión SSH desde un host sospechoso ubicado en China, a lo que se suponía que debía seguir el ataque en sí de MITRE. Sin embargo, no le dimos ocasión: bloqueamos la conexión SSH sospechosa y, por consiguiente, detuvimos el ataque en una fase más temprana.
- En el paso cinco, en el ataque se intentó cifrar datos, pero el agente de Cortex XDR revirtió la acción de cifrado de inmediato. Detuvimos el ataque y, al hacerlo, ofrecimos el único resultado que realmente importa: mantener a salvo a nuestros clientes.
¿Qué es la evaluación MITRE ATT&CK?
La evaluación MITRE ATT&CK es la prueba de ciberseguridad más rigurosa que existe y se ha diseñado para medir la capacidad de las soluciones de seguridad del endpoint de detectar y prevenir amenazas reales. La evaluación MITRE ATT&CK analiza y emula los ataques que lanzan diferentes adversarios sofisticados, por lo que constituye una base de referencia sólida para determinar la eficacia de la seguridad.
La evaluación Enterprise 2024 de este año se centró en dos orígenes de ataque distintos y prominentes:
- Ransomware: tras analizar los comportamientos observados en varias campañas de ransomware, como el uso indebido de herramientas legítimas, el cifrado de datos y la desactivación de servicios o procesos cruciales, MITRE decidió emular las técnicas de dos conocidos grupos de ciberdelincuencia que recurren al ransomware como servicio: CL0P y LockBit.
- Corea del Norte: se simularon ataques a sistemas macOS, inspirados en el uso que hace Corea del Norte del malware modular para obtener privilegios de mayor nivel y comprometer credenciales.
¿Qué hace Palo Alto Networks para supervisar amenazas y adversarios prominentes como el ransomware y Corea del Norte?
El equipo de investigación de amenazas de Cortex de Palo Alto Networks, que funciona como una extensión de Unit 42, supervisa el cambiante panorama de amenazas y convierte sus hallazgos en inteligencia práctica que permite mejorar las funciones de detección y prevención de Cortex XDR.
Durante el último año, como parte de su trabajo diario estudiando las tácticas, técnicas y procedimientos (TTP) de diferentes actores de amenazas, el equipo puso el cerco a varios grupos de APT vinculados con Corea del Norte, lo que le permitió destapar campañas y malware nuevos utilizados para infiltrarse en las redes de organizaciones de todo el mundo.
Corea del Norte se caracteriza por seguir una estrategia de ciberguerra que gira en torno a dos ejes centrales: el espionaje y las actividades de ciberdelincuencia a gran escala destinadas a generar ingresos para el régimen. Nuestras investigaciones concluyen que Corea del Norte se está interesando cada vez más por los usuarios y endpoints de macOS y que no ceja en su empeño de llevar a cabo operaciones destinadas a robar criptomonedas e información confidencial de organizaciones de diferentes sectores en todo el mundo.
Las conclusiones más importantes del trabajo del equipo se han compartido con la comunidad y están disponibles en el Centro de investigación de amenazas de Unit 42, donde se pueden consultar, entre otros, los siguientes artículos de investigación:
- Evaluación de la amenaza: grupos de ciberdelincuencia de Corea del Norte
- Contagious Interview: actores de amenazas de Corea del Norte engañan a solicitantes de empleo del sector tecnológico para instalar nuevas variantes de los malware BeaverTail e InvisibleFerret
- Una campaña de paquetes Python envenenados lanzada por Gleaming Pisces establece puertas traseras PondRAT en Linux y macOS
- Análisis del conjunto de herramientas de Sparkling Pisces: KLogEXE y FPSpy
El equipo también ha publicado varios artículos de investigación sobre las bandas de ransomware en activo más peligrosas de 2024. Todas estas investigaciones ponen de relieve la evolución de estos grupos y concluyen que son cada vez más sofisticados y agresivos, pero también demuestran que las funciones de detección y prevención de Cortex XDR pueden frustrar sus operaciones automáticamente y detener el cifrado de la información confidencial.
Para obtener más información sobre estos grupos de ransomware, consulte los siguientes artículos:
- Evaluación de la amenaza: Howling Scorpius (ransomware Akira)
- De RA Group a RA World: la evolución de un grupo de ransomware
- Evaluación de la amenaza: BianLian
¿En qué cambia la prueba de este año?
La evaluación MITRE ATT&CK de este año ha introducido una serie de cambios significativos para reflejar la evolución que se está produciendo en el conjunto de las amenazas y medir mejor la eficacia de las soluciones de seguridad del endpoint.
- Más endpoints abarcados: la evaluación incluyó una mayor variedad de plataformas de endpoint, para poner bajo la lupa entornos de Windows, Linux y, por primera vez, de macOS. La ampliación del alcance de las pruebas garantizó que las soluciones se sometiesen a examen con distintos sistemas operativos, lo que permite hacerse una idea más precisa de sus funciones de defensa.
- Inclusión de falsos positivos: otra novedad importante ha sido la inclusión del control de falsos positivos, que constituyen un factor determinante en las implementaciones reales. Así, no solo se evaluó la capacidad de los proveedores de detectar amenazas, sino también de evitar detecciones inexactas que pudiesen sobrecargar a los equipos de seguridad o interrumpir procesos empresariales cruciales.
Con la incorporación de estos cambios, MITRE llevó a cabo su evaluación más exigente y realista hasta la fecha.
La importancia de la constancia: Cortex XDR ofrece resultados excepcionales año tras año
Palo Alto Networks se ha comprometido a ofrecer a sus clientes tecnologías de ciberseguridad de la mayor calidad posible y, para ello, cuenta con los mejores profesionales y realiza grandes inversiones en investigación e ingeniería. Para nuestros equipos, es un orgullo someter su trabajo a las rigurosas evaluaciones MITRE ATT&CK un año tras otro y poder mostrarle al mundo los frutos de su ardua labor.
Cortex XDR lleva desde 2022 liderando el sector en los resultados de detección de las evaluaciones MITRE. En nuestra opinión, las simulaciones de ataque de cada edición ofrecen una perspectiva única de los actores de amenazas reales y de cómo está respondiendo el sector de la ciberseguridad en términos de defensa. Por eso, hemos elaborado un registro público con los resultados de todas las evaluaciones MITRE ATT&CK —disponible en nuestro panel interactivo— que permite comparar fácilmente un año con otro.
Queremos dar las gracias a MITRE y a todos nuestros clientes que confían en Cortex XDR para defender sus endpoints. Es un honor que nos considere el partner de ciberseguridad por excelencia.
¿Quiere ver Cortex XDR en acción? Programe una demostración con nosotros.