This post is also available in: English (Englisch) 简体中文 (Vereinfachtes Chinesisch) 繁體中文 (Traditionelles Chinesisch) Français (Französisch) Italiano (Italienisch) 日本語 (Japanisch) 한국어 (Koreanisch) Português (Portugiesisch, Brasilien) Español (Spanisch)
Cortex XDR hat bei der diesjährigen MITRE ATT&CK-Bewertung Geschichte geschrieben: Bei allen Schritten eines simulierten Angriffs erreichte sie als erste Lösung überhaupt eine 100-prozentige Erkennung sämtlicher Angriffstechniken. Die Erkennung von Angriffstechniken ist der Goldstandard, da sie den Sicherheitsanalysten exakt die Informationen zur Hand gibt, die sie benötigen, um einen Angriff identifizieren zu können. Zudem erreichte Cortex XDR nun schon zum zweiten Jahr in Folge eine 100-prozentige Erkennung ohne Konfigurationsänderungen oder Verzögerungen und bewies damit unübertroffene Konsistenz.
Cortex XDR erzielte mit null False Positives die höchste Präventionsrate unter allen Anbietern – ein wesentlicher Aspekt effektiver Endpunktsicherheit. In der Präventionsphase kann schon ein einziges False Positive legitime Geschäftsprozesse stören und die Produktivität beeinträchtigen.
Die diesjährige Bewertung war strenger denn je und umfasste False-Positive-Tests, Unterstützung für macOS und erweiterte Linux-Szenarien. Auffallend war, dass die Zahl der teilnehmenden Anbieter von 29 auf 19 zurückgegangen ist und einige bekannte Anbieter nicht teilgenommen haben. Von den getesteten Anbietern erkannten zwei Drittel weniger als 50 % der Angriffsschritte – dies unterstreicht die besondere Strenge der diesjährigen Bewertung.
Wir sind sehr stolz auf unsere erstklassigen Bedrohungsforschungs- und Entwicklungsteams. Sie sorgen für herausragende Endpunktsicherheit und ermöglichen es unseren Kunden, wie in dieser Bewertung simuliert, Angreifern einen Schritt vorauszubleiben.
Cortex XDR: Branchenweit beste Endpunktsicherheit in MITRE ATT&CK Runde 6
Cortex XDR hat sowohl in den Erkennungs- als auch in den Präventionsszenarien der Bewertung hervorragend abgeschnitten und damit neue Maßstäbe für die Endpunktsicherheit und die Erwartungen gesetzt, die Unternehmen an ihre Cybersicherheitslösungen stellen sollten.
In den drei Erkennungsszenarien hat Cortex XDR als erste Lösung 100 % der Techniken in allen simulierten Angriffsschritten erkannt – ohne Konfigurationsänderungen oder verzögerte Erkennungen. Diese Ergebnisse bekräftigen unser Engagement, den umfassendsten Schutz für alle wichtigen Betriebssysteme – Windows, macOS und Linux – bereitzustellen.
Bei den MITRE ATT&CK-Bewertungen wird auch die Prävention getestet, also die Fähigkeit einer Lösung, Angriffe zu blockieren, bevor sie Schaden anrichten können. Das ist echte Endpunktsicherheit: möglichst viele Angriffe verhindern und den Rest schnell und präzise erkennen.
In Runde 6 verhinderte Cortex XDR acht von zehn Angriffsschritten, wobei keine False Positives auftraten. False Positives in der Präventionsphase können kritische Geschäftsprozesse stören und zu erheblichen finanziellen Schäden führen. Cortex XDR bietet unübertroffen präzise Prävention mit null Unterbrechungen und ist somit die ideale Endpunktsicherheitslösung für die größten und anspruchsvollsten Unternehmen der Welt.
Im Präventionstest gab es zwar zwei Angriffsschritte, bei denen unsere Blockierungsmaßnahmen nicht den Kriterien von MITRE entsprachen, aber in der Realität hätten unsere Maßnahmen die Kunden geschützt und ein Eindringen verhindert.
- In Schritt 3 wurde versucht, eine SSH-Verbindung von einem verdächtigen Host in China herzustellen, worauf der Angriffsschritt von MITRE folgen sollte. Wir haben die verdächtige SSH-Verbindung blockiert und so den Angriff in einem früheren Stadium gestoppt.
- In Schritt 5 wurde versucht, Daten zu verschlüsseln, was vom Cortex XDR-Agenten sofort rückgängig gemacht wurde. Wir haben den Angriff gestoppt und erreicht, worauf es ankommt: die Sicherheit der Kunden zu gewährleisten.
Was sind MITRE ATT&CK-Bewertungen?
Die MITRE ATT&CK-Bewertungen sind der strengste Test auf dem Gebiet der Cybersicherheit. Hier wird gemessen, wie gut Endpunktsicherheitslösungen reale Bedrohungen erkennen und verhindern. Die MITRE ATT&CK-Bewertungen untersuchen und emulieren Angriffe von hochversierten Angreifern – ein echter Maßstab für effektive Sicherheit.
Die diesjährige Bewertung für 2024 in der Kategorie Enterprise konzentrierte sich auf zwei unterschiedliche und äußerst relevante Angriffsquellen:
- Ransomware: Hier werden Verhaltensweisen untersucht, die bei Ransomwarekampagnen üblich sind, wie beispielsweise der Missbrauch legitimer Tools, die Verschlüsselung von Daten und die Deaktivierung wichtiger Dienste oder Prozesse. MITRE entschied sich, die Techniken von zwei berüchtigten Angreifergruppen zu emulieren, die Ransomware-as-a-Service einsetzen: Clop und LockBit.
- Demokratische Volksrepublik Korea (DVRK): Die Simulation von Angriffen auf macOS-Systeme wurde von der Verwendung modularer Malware durch die Demokratische Volksrepublik Korea (DVRK) inspiriert, um Berechtigungen zu erweitern und Zugangsdaten zu erlangen.
Wie überwacht Palo Alto Networks bekannte Bedrohungen wie Ransomware oder jene aus der DVRK?
Das Cortex Threat Research-Team von Palo Alto Networks überwacht als Erweiterung von Unit 42 die sich ständig weiterentwickelnde Bedrohungslandschaft. Das Team wandelt seine Erkenntnisse in praxisrelevante Informationen um, die direkt in die Erkennungs- und Präventionsfunktionen von Cortex XDR einfließen.
Im Laufe des vergangenen Jahres hat es im Rahmen seiner täglichen Bemühungen, die Taktiken, Techniken und Prozesse (TTPs) von Angreifern zu untersuchen, APT-Gruppen mit Verbindungen zur DVRK ins Visier genommen und neue Kampagnen und Malware aufgedeckt, die zur Infiltration von Unternehmen weltweit eingesetzt werden.
Die DVRK ist für ihre zweigleisige Cyberkriegsführungsstrategie bekannt: Spionage und groß angelegte cyberkriminelle Aktivitäten sollen dem nordkoreanischen Regime Einnahmen verschaffen. Unsere Untersuchungen zeigen, dass die DVRK zunehmend auf macOS-Benutzer und -Endpunkte abzielt und immer wieder versucht, Kryptowährungen und vertrauliche Informationen von Unternehmen aus den unterschiedlichsten Branchen zu stehlen.
Die wichtigsten Forschungsergebnisse des Teams wurden der Community zugänglich gemacht und sind im Unit 42 Threat Research Center verfügbar, darunter die folgenden Bedrohungsberichte:
- Bedrohungseinschätzung: Nordkoreanische Angreifergruppen
- „Contagious Interview“: Nordkoreanische Cyberkriminelle verleiten Stellenbewerber der Tech-Branche dazu, neue Varianten der Malware BeaverTail und InvisibleFerret zu installieren.
- PondRAT-Kampagne: Gleaming Pisces infiziert Python-Pakete zur Einschleusung von Linux- und macOS-Backdoors
- Wir enthüllen das Toolset von Sparkling Pisces: KLogEXE and FPSpy
Das Team hat außerdem mehrere Bedrohungsberichte über die gefährlichsten Ransomwarebanden veröffentlicht, die im Jahr 2024 aktiv waren. Sie zeigen die Entwicklung dieser Gruppen auf und verdeutlichen ihre zunehmend raffinierten und aggressiven Vorgehensweisen. Sie demonstrieren auch, wie die Erkennungs- und Präventionsfunktionen von Cortex XDR diese Aktivitäten automatisch unterbinden und die Verschlüsselung sensibler Daten verhindern können.
In den folgenden Artikeln erfahren Sie mehr über diese Ransomwaregruppen:
- Bedrohungseinschätzung: Howling Scorpius (Akira-Ransomware)
- Von „RA Group” zu „RA World”: Die Evolution einer Ransomwaregruppe
- Bedrohungseinschätzung: BianLian
Welche Änderungen gibt es beim diesjährigen Test?
Bei der diesjährigen MITRE ATT&CK-Bewertung wurden einige wichtige Änderungen vorgenommen, um der sich verändernden Bedrohungslandschaft Rechnung zu tragen und die Effektivität der Endpunktsicherheit besser messen zu können.
- Erweiterte Abdeckung von Endpunkten: Zum ersten Mal umfasste der Test eine breitere Palette von Endpunktplattformen und ist nun auf Windows-, Linux- und macOS-Umgebungen ausgerichtet. Durch diese Erweiterung wurde sichergestellt, dass die Lösungen auf verschiedenen Betriebssystemen getestet wurden, was einen umfassenderen Überblick über die Abwehrfunktionen bot.
- Berücksichtigung von False Positives: Eine weitere wichtige Neuerung ist die Erfassung von False Positives, im Praxiseinsatz ein entscheidender Faktor. Die Anbieter wurden nicht nur nach ihrer Fähigkeit bewertet, Bedrohungen zu erkennen, sondern auch danach, wie sie ungenaue Erkennungen vermeiden, die Sicherheitsteams überfordern oder geschäftskritische Prozesse stören könnten.
Durch die Einbeziehung dieser Änderungen ist es MITRE gelungen, die bisher anspruchsvollste und realistischste Bewertung durchzuführen.
Beständigkeit ist das A und O – Cortex XDR liefert Jahr für Jahr hervorragende Ergebnisse
Palo Alto Networks bietet seinen Kunden Cybersicherheitstechnologien von höchster Qualität. Dies erfordert außergewöhnliche Talente und Investitionen in Forschung und Entwicklung. Unsere Teams sind stolz darauf, dass ihre Arbeit Jahr für Jahr den strengen MITRE ATT&CK-Bewertungen standhält und sie der Welt die Ergebnisse ihrer harten Arbeit demonstrieren können.
Seit 2022 erzielt Cortex XDR in den MITRE-Bewertungen bei der Erkennung die besten Ergebnisse der Branche. Wir sind der Meinung, dass die jährliche Angriffssimulation einen einzigartigen Einblick in die Angriffsmethoden weltweit und in die Fähigkeit der Cybersicherheitsbranche, diese Bedrohungen abzuwehren, bietet. Aus diesem Grund veröffentlichen wir alle MITRE ATT&CK-Bewertungsergebnisse in unserem interaktiven Dashboard für den einfachen Jahresvergleich.
Wir bedanken uns bei MITRE und allen unseren Kunden, die Cortex XDR zum Schutz ihrer Endpunkte einsetzen. Es ist uns eine Ehre, Ihr bevorzugter Partner für Cybersicherheit sein zu dürfen.
Wenn Sie Cortex XDR in Aktion erleben möchten, kontaktieren Sie uns, um eine Demo zu vereinbaren.