Три крупных поставщика ИБ-продуктов решили не участвовать в ежегодном тестировании MITRE по обнаружению и реагированию на атаки на конечные точки (EDR) в 2025 году. В июне Microsoft объявила о своём отказе от участия в MITRE Engenuity ATT&CK Evaluations: Enterprise 2025, а в сентябре её примеру последовали SentinelOne и Palo Alto Networks. Эти решения вызвали обеспокоенность в экспертном сообществе относительно будущего программы.
Примечательно, что все три компании обосновали свой шаг стремлением отдать приоритет разработке продуктов и инновациям. Однако специалисты предполагают, что могут играть роль и другие факторы, в том числе то, что тесты всё чаще воспринимаются как реклама, а не как средство достижения реального повышения безопасности.
Американская корпорация MITRE, реализующая множество программ в области кибербеза, представила свою платформу ATT&CK в 2015 году. Она быстро стала стандартным инструментом в ИБ-индустрии для сопоставления техник, тактик и процедур (TTP) реальных преступников. В 2019 году MITRE ATT&CK запустила свою первую программу оценки, ставя цель «заполнить пробел на рынке тестирования безопасности». MITRE Engenuity ATT&CK Evaluations: Enterprise — самый популярный из всех оценочных тестов, проводимый ежегодно с момента его анонса.
«Мы стремимся к тому, чтобы в ходе тестирования сравнивать отдельные решения для обнаружения конкретного источника опасности. Моделирование действий разных злоумышленников из года в год действительно важно для понимания различных классов возникающих угроз», — отметил технический директор и старший вице-президент MITRE Labs Чарльз Клэнси.
Отказ Microsoft, SentinelOne и Palo Alto Networks от тестирования под благовидными предлогами Клэнси прокомментировал так: во-первых, участие в программе MITRE ATT&CK Evaluations требует значительных ресурсов, которые поставщики могли бы использовать в других проектах; во-вторых, команда, стоящая за тестом, стремится усложнять его с каждым годом, и не всегда «удаётся найти правильный баланс».
В компании CrowdStrike же считают, что тесты MITRE Evaluations изначально были отличной инициативой для оценки ИБ-решений, но в последние годы превратились в «театр поставщиков», которые «вкладывают огромные ресурсы в пиар-эффект, а не в реальные улучшения безопасности». Эксперты уверены: концепция тестирования на основе TTP по-прежнему ценна, но её идеология, чрезмерная ориентация на конечные точки и оторванность от реальных угроз, значительно устарели. Тем не менее, около десятка вендоров заявило о своём участии в мероприятиях этого года.
Усам Оздемиров
.png)