Analysing the common TTP's adversaries use to evade EDR-solutions. And how can this improve the false-negative rate of these solutions

Abstract

Hver dag utføres et stort antall angrep mot forskjellige organisasjoner over hele verden. Disse angrepene stammer fra uerfarne angripere som såkalte script-kiddies, til de mer avanserte APT-gruppene eller nasjonalstater. Sistnevnte har kapasitet til å omgå forskjellige forsvarssystemer, for eksempel EDR-løsninger.

Disse EDR-løsningene samler inn telemetri for å oppdage ondsinnet aktivitet. Mens sikkerhetsleverandører prøver å holde tritt med motstanderne for å beskytte infrastrukturen til kundene, utvikler dette våpenkappløpet nye taktikker, teknikker og prosedyrer (TTP) for å unngå oppdagelse og omgå forsvar.

En Red Team-øvelse er et godt middel for å sette sikkerhetsløsningene på prøve ved å simulere kjente motstanders TTP-er. En slik øvelse kan avdekke hvor sikkerhetsløsningene har sine mangler, og hvordan forsvarerne kan styrke sin sikkerhet.

Every day, a vast number of attacks are performed against different organizations all around the world. These attacks originates from low level attackers such as so-called script-kiddies, to the more advanced APT groups or nation state actors. The latter have capability to bypass different defence systems, such as EDR solutions.

These EDR solution are gathering telemetry in order to detect malicious activity. While security vendors try to keep up with the adversaries to protect the infrastructure of the customers, this arms race evolves new tactics, techniques and procedures (TTP) to evade detection and bypass defences.

A Red Team exercise are a good means to put the security solutions to the test, by simulating known adversaries TTPs. A such exercise can reveal where the security solutions have their shortcomings, and how the defenders can enhance their security.