MITRE 2024: HarfangLab beeindruckt mit zuverlässiger Erkennung und Präzision

Die MITRE ATT&CK Evaluations sorgen regelmäßig für spannende Erkenntnisse und Benchmarks, an denen sich sowohl Hersteller als auch Kund*innen orientieren können. IKARUS-Technologiepartner HarfangLab nahm 2024 bereits zum zweiten Mal an den Tests teil – erneut mit großem Erfolg.

Exzellente Erkennungsraten bei bekannten wie unbekannten Bedrohungen

MITRE ATT&CK ist ein international anerkanntes Framework, das Cybersicherheitslösungen in realitätsnahen Angriffsszenarien testet und bewertet. Das Ziel ist es, Transparenz zu schaffen und Unternehmen sowie Sicherheitsexperten detaillierte Einblicke in die Effizienz der Lösungen zu geben.

Bereits bei der ersten Testteilnahme 2023 erzielte HarfangLab eine ausgezeichnete Erkennungsrate und platzierte sich als europäischer Top-Player im EDR-Bereich. Auch die aktuellen MITRE-Ergebnisse bestätigen HarfangLab eine umfassende Erkennung der eingesetzten Angriffstechniken, darunter APT-Angriffe (Advanced Persistent Threats) auf macOS und Ransomware-Attacken auf Windows und Linux: HarfangLab erkannte jeden der 16 Angriffsschritte.

Schnelle Abwehr und Kontextualisierung durch Bedrohungsinformationen

In jeder Phase der vom MITRE-Team simulierten Angriffsszenarien erkannte HarfangLab nicht nur die Taktiken (Warum wird diese Aktion ausgeführt?), sondern auch die spezifischen Techniken (Wie wurde die Aktion ausgeführt?). Dadurch wurden die Warnmeldungen mit präzisen und kontextbezogenen Informationen angereichert. Auch bei der Abwehr typischer Ransomware-Aktivitäten wie Datenexfiltrationen und Verschlüsselung, die in einer ergänzenden Emulation getestet wurde, bewies HarfangLab eine starke Erkennungsleistung und Präzision.

„Für Security-Analysten bedeuten diese Ergebnisse nicht nur Vertrauen in die Lösung, sondern auch effizienteres Arbeiten“, erklärt IKARUS Cyber Security Engineer Stefan Vogt, der selbst mit dem System arbeitet: „Je schneller und präziser Bedrohungen erkannt werden, desto geringer ist der Bedarf an manuellen Nacharbeiten und desto kürzer fallen die Reaktionszeiten aus.“

Präzision durch Fokus auf relevante Alarme und Reduktion des Noise

Um die Genauigkeit der Erkennungsleistungen zu bemessen, wurden erstmals auch False Positiv-Raten erhoben, indem das MITRE Red Team zusätzlich zu den Angriffsschritten harmlose Aktivitäten ausführte. Fälschlich blockiert oder gemeldet, führen sie zu False Positives. 19 der 20 gutartigen Aktionen, die sich unter die 80 bösartigen Aktivitäten in den drei Testszenarien mischten und damit „Noise“ erzeugten, wurden von HarfangLab richtig eingeordnet.

Falsche Alarme belasten und ermüden Security Teams und lenken von tatsächlich sicherheitsrelevanten Ereignissen ab. EDR-Systeme sollten hingegen den Überblick erleichtern und für mehr Transparenz sorgen.

HarfangLab Guard: EDR & EPP mit integrierter IKARUS Malware Scan Engine

Die neueste Produktversion HarfangLab Guard integriert die IKARUS Malware Scan Engine, die die Erkennung und sofortige Abwehr von Bedrohungen verstärkt. „Die IKARUS Malware Scan Engine fungiert als zusätzlicher Protection Layer, der bösartige Inhalte innerhalb von Millisekunden aussortiert und blockiert, bevor sie überhaupt aktiv werden können“, erklärt Stefan Vogt: „Damit wird der Noise durch anfallende dynamische Alerts weiter reduziert, was Security Analyst*innen entlastet. Das gesamte System wird noch schneller, zuverlässiger und schlanker.“

Abseits der technischen Features fokussieren IKARUS und HarfangLab auf volle Transparenz und Souveränität bei der Datenverarbeitung. HarfangLab Guard kann daher wahlweise in der IKARUS-Cloud, einer privaten Cloud oder on-premises betrieben werden. Die Leistungen und Features sind in allen Varianten gleich – eine positive Ausnahme am Markt. Auch der Umfang der Datenverarbeitung kann individuell gesteuert und jederzeit eingesehen werden. „Sogar das Regelset zu Erkennung von Angriffsmustern ist offen und einsehbar“, betont Stefan Vogt. So können Security-Analyst*innen jederzeit nachvollziehen, welche Ereignisse oder Ereignisketten zu Alarmen geführt haben, und diese auch selbst erweitern.

Bedeutung der MITRE-Ergebnisse für Organisationen

Die MITRE ATT&CK Evaluations bieten Organisationen mit ihren realitätsnahen Tests die Möglichkeit, die Ergebnisse verschiedener Anbieter zu beurteilen und so die passende Lösung zu finden.

“Die neuesten MITRE-Ergebnisse zeigen die hervorragende Leistung von HarfangLabs EDR in allen Aspekten: optimierte Erkennung über alle Betriebssysteme, vollständiger Schutz mit sofortiger Blockierung von Cyberangriffen und eine False-Positive-Rate von nahezu null, sodass sich Analyst*innen und Cyber-Expert*innen auf relevante Alarme konzentrieren können“, so Grégoire Germain, CEO von HarfangLab: „Diese Ergebnisse unterstreichen unser gemeinsames Engagement mit IKARUS, unseren Kunden erstklassige Cybersicherheitslösungen bereitzustellen, die sie im täglichen Kampf gegen Cyberangriffe wirksam unterstützen.“

Die Kombination zweier führender europäischer Produkte zu einem leistungsstarken Gesamtsystem stärkt zudem die technologische Unabhängigkeit Europas. „Die Ergebnisse zeigen, dass wir auch in Europa die Kompetenzen und Exzellenz haben, technologisch Spitzenreiter im EDR-Markt zu sein“, so Joe Pichlmayr, CEO von IKARUS: „Unser gemeinsam mit HarfangLab entwickeltes Produkt bietet europäischen Unternehmen eine attraktive Alternative zu den amerikanischen Marktführern.“

Link: Ergebnisse der MITRE ATT&CK Evaluations 2024