Código HTML do Conteúdo
Post: Fornecedores de detecção de ameaças cibernéticas desistem do teste de avaliações MITRE
<div>
<div>
<div>
<div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-5a86ba32-dde7-42e9-afb6-b1e8ad014093">
<p>Três grandes fornecedores de soluções de segurança cibernética decidiram não participar da edição de 2025 do teste anual de solução de detecção e resposta de endpoint (EDR) do MITRE.</p>
<p>Depois que a Microsoft anunciou que não participaria do MITRE Engenuity ATT&CK Evaluations: Enterprise 2025 em junho, a SentinelOne e a Palo Alto Networks confirmaram em 12 de setembro que também estavam se retirando do teste para este ano.</p>
<p>Essas decisões levantaram preocupações entre a comunidade de segurança cibernética sobre o futuro e a relevância do programa. Esses movimentos são especialmente surpreendentes, pois as três empresas são grandes fornecedores de segurança cibernética e todas tiveram um bom desempenho no teste de 2024, no qual a solução da Microsoft superou os testes do MITRE, o SentinelOne ficou em quinto lugar e Palo Alto em 12º.</p>
</div>
<div data-edit-folder-name="text" data-index="2" data-layout-id="2" id="layout-91b62785-89c1-4dce-b68a-c8390dab8217">
<p>É uma decisão particularmente surpreendente para a Microsoft, que <a href="https://www.microsoft.com/en-us/security/blog/2024/12/11/microsoft-defender-xdr-demonstrates-100-detection-coverage-across-all-cyberattack-stages-in-the-2024-mitre-attck-evaluations-enterprise/" target="_blank">usou sua classificação no teste para promover sua solução</a>, Microsoft Defender XDR, em dezembro de 2024.</p>
<p>Curiosamente, todas as três empresas justificaram a mudança dizendo que queriam priorizar o desenvolvimento e a inovação de produtos.</p>
<p>No entanto, especialistas sugeriram que outros fatores também podem estar em jogo, incluindo os testes se tornando cada vez mais vistos como promocionais, em vez de obter ganhos reais de segurança.</p>
<p><em>Segurança da informação</em> conversou com Charles Clancy, CTO do MITRE e vice-presidente sênior do MITRE Labs, que compartilhou elementos-chave da evolução do teste de avaliação que poderiam explicar as decisões antes dos resultados do teste deste ano em dezembro de 2025.</p>
<h2><strong>História de fundo das avaliações da ATT&CK: Enterprise</strong></h2>
<p>A MITRE Corporation é uma organização sem fins lucrativos com sede nos EUA que executa muitos programas de segurança cibernética, incluindo alguns em nome do governo dos EUA.</p>
<p>O MITRE introduziu sua estrutura ATT&CK em 2015, que rapidamente se tornou a ferramenta padrão no setor de segurança cibernética para mapear técnicas, táticas e procedimentos (TTPs) de adversários cibernéticos do mundo real.</p>
<p>Em 2019, a MITRE ATT&CK lançou seu primeiro programa de avaliações para “preencher uma lacuna no mercado de testes de segurança”, argumentou Clancy.</p>
<p>“Havia muitos tipos de testes de terceiros para produtos de segurança cibernética, mas cada um deles tinha seu próprio processo e metodologia de pontuação, levando a resultados inconsistentes e falta de rigor que não estava impulsionando o setor”, explicou.</p>
<p>Avaliações MITRE Engenuity ATT&CK: Enterprise é o mais regular de todos os testes de avaliação, ocorrendo todos os anos desde o seu lançamento.</p>
<p>Em <a href="https://www.linkedin.com/feed/update/urn:li:activity:7373057865735028736/" target="_blank">uma postagem no LinkedIn</a>, Igal Gofman, diretor de engenharia da CrowdStrike e ex-pesquisador de segurança da Microsoft e da Tenable, chamou o teste de “Olimpíadas da segurança cibernética”.</p>
<p>Entre as 1000 pessoas que trabalham na prática de segurança cibernética da MITRE, 133 são dedicadas à MITRE ATT&CK, das quais 12 a 15 pessoas estão trabalhando na <a href="https://evals.mitre.org/" target="_blank">Testes de avaliações</a>, Clancy disse <em>Segurança da informação</em>.</p>
<p>A cada ano, a equipe por trás do programa de testes escolhe um dos vários adversários da vida real e/ou cadeias de ataque com base em seus TTPs mapeados no ATT&CK.</p>
<p>Em seguida, eles testam as soluções EDR dos fornecedores participantes em ataques simulados usando o Caldera, a própria plataforma automatizada de emulação de adversários do MITRE, de acordo com vários critérios, incluindo resultados de detecção, falsos positivos e verdadeiros negativos.</p>
<p>Embora esse teste possa ser usado para comparar a eficácia das soluções de EDR, Clancy observou que ele não deve ser visto como uma referência longitudinal porque cada teste anual difere muito do anterior.</p>
<p>“O ethos que estamos tentando impulsionar nos testes é a comparação de um produto individual para detectar um determinado agente de ameaça. Simular diferentes adversários ano após ano é realmente importante para entender as diferentes classes de ameaças emergentes”, disse Clancy.</p>
<h2><strong>Por dentro das edições 2024 e 2025 do teste</strong></h2>
<p>Em 2024, o MITRE ATT&CK Evaluations: Enterprise emulou 14 técnicas em 7 táticas de hackers conhecidos afiliados à Coreia do Norte, 16 técnicas em 7 táticas do grupo de ransomware CL0P e 31 técnicas em 11 táticas do grupo de ransomware LockBit.</p>
<p>A CrowdStrike, um dos principais fornecedores de EDR, não participou da edição daquele ano, com um membro do subreddit da CrowdStrike – que alegou estar trabalhando para a empresa – <a href="https://www.reddit.com/r/crowdstrike/comments/1hby56a/no_crwd_in_mitre_evals/" target="_blank">Sugerindo</a> que a avaliação foi definida para ocorrer logo após a interrupção global de 19 de julho que afetou o produto EDR da empresa.</p>
<p>Naquele ano, a Microsoft, ESET e Cybereason lideraram o ranking, seguidos por ThreatDown, SentinelOne e Bitdefender.</p>
</div>
<div data-edit-folder-name="text" data-index="4" data-layout-id="2" id="layout-bb17e06d-2ad9-4e3a-92db-a49e4533cacc">
<p>Em 2025, a equipe de avaliações da ATT&CK selecionou dois cenários:</p>
<ul>
<li>Um cenário de aranha dispersa: intrusão multifacetada em um ambiente híbrido que apresenta engenharia social, exploração de infraestrutura em nuvem, abuso de identidade e técnicas de viver da terra (LOTL)</li>
<li>Um cenário de ciberespionagem alinhado com a China: intrusão evasiva destacando o uso hábil de engenharia social pelo adversário, abuso de aplicativos e serviços legítimos, estabelecimento de mecanismos persistentes e emprego de malware personalizado para evitar a detecção</li>
</ul>
<p>Embora ele tenha admitido que os fornecedores podem variar ano após ano, Clancy garantiu que eles podem contar com “muitos clientes recorrentes”.</p>
<h2><strong>Por que os fornecedores estão saindo do MITRE’s Test</strong></h2>
<p>No entanto, a edição deste ano, cujos resultados são esperados para dezembro, não terá três grandes players: Microsoft, SentinelOne e Palo Alto Networks.</p>
<p>A Microsoft anunciou que não participará do teste deste ano em 13 de junho, alegando que essa decisão “nos permite concentrar todos os nossos recursos na Secure Future Initiative e no fornecimento de inovação de produtos aos nossos clientes”.</p>
<p>Em 12 de setembro, SentinelOne e Palo Alto divulgaram declarações semelhantes.</p>
<p>O primeiro disse que queria “priorizar nossos recursos de produto e engenharia em iniciativas focadas no cliente enquanto acelera nosso roteiro de plataforma”, enquanto o último explicou que essa decisão “nos permite acelerar ainda mais as inovações críticas da plataforma que abordam diretamente os desafios de segurança mais urgentes de nossos clientes e respondem ainda mais rápido ao cenário de ameaças em evolução”.</p>
<p>Quando contatado por <em>Segurança da informação</em>, a SentinelOne e a Palo Alto Networks se recusaram a fornecer mais comentários. A Microsoft não respondeu a um pedido de comentário.</p>
<p>No entanto, Clancy, do MITRE, disse que está em contato próximo com os três fornecedores e acredita que conhece os motivos que os fizeram desistir do teste deste ano.</p>
<p>Primeiro, como os fornecedores disseram em suas declarações, participar do programa de avaliações MITRE ATT & CK requer um compromisso intensivo de recursos, sugerindo que o tempo e o pessoal dedicados a ele são perdidos em outros projetos.</p>
<p>Então, Clancy disse que a equipe por trás do teste se esforça para torná-lo mais difícil a cada ano e admitiu que pode ter ido longe demais este ano.</p>
<p>“A cada ano, queremos projetar um teste mais difícil do que no ano anterior, a fim de impulsionar toda a indústria, já que o teste pode oferecer uma oportunidade para os fornecedores atualizarem seus produtos em preparação para o teste e assim que obtiverem os resultados. E às vezes, não conseguimos o equilíbrio certo”, explicou.</p>
<p>Falando com <em>Segurança da informação</em>, Vishal Santharam, gerente sênior de produtos de segurança de endpoint da ManageEngine, elaborou o ponto de Clancy.</p>
<p>“Em 2024, o MITRE começou a registrar o volume de alertas nas avaliações, o que é sempre um desafio para um fornecedor sintonizar. Mais alertas significam maior fadiga de alerta”, disse ele, referindo-se a <a href="https://www.forrester.com/blogs/go-beyond-the-mitre-attck-evaluation-to-the-true-cost-of-alert-volumes/" target="_blank">um estudo da Forrester</a> decodificando as avaliações MITRE de 2024: empresa com base no volume de alertas.</p>
</div>
<div data-edit-folder-name="text" data-index="6" data-layout-id="2" id="layout-f5b17f18-a07d-45a1-b7ff-48667e453917">
<p>Além disso, Santharam observou que o teste Avaliações: Empresas de 2025 incluiu o ambiente de nuvem, “que é um território não testado e requer ainda mais atenção dos fornecedores”.</p>
<p>Finalmente, Clancy disse <em>Segurança da informação </em>que sua equipe costumava realizar um fórum de fornecedores a cada ano para se preparar para o teste MITRE ATT&CK Evaluations: Enterprise.</p>
<p>“Este fórum, que foi útil para trabalhar com a indústria para definir os objetivos do teste a cada ano, caiu nos últimos dois anos”, admitiu Clancy.</p>
<p>No LinkedIn, Gofman, da CrowdStrike, argumentou que os testes MITRE Evaluations foram inicialmente uma ótima iniciativa para comparar soluções de segurança, mas se transformaram em “teatro de fornecedores” nos últimos anos.</p>
<div>
<p>“Os fornecedores investem enormes recursos para vitórias de relações públicas, não para melhorias reais de segurança. Com o MITRE e a CISA sob pressão de cortes e mudanças no orçamento, alguns fornecedores provavelmente viram uma oportunidade de recuar”, disse ele.</p>
<p>“O conceito de teste baseado em TTP ainda é valioso, mas a maneira como ele evoluiu, está desatualizado, excessivamente focado em endpoints, separado das ameaças do mundo real, é muito menos”, acrescentou.</p>
</div>
<p>Patrick Garrity, pesquisador de vulnerabilidades da VulnCheck, corroborou essa visão: “[It] Parece que essa atividade de benchmarking se tornou um gigante distração para construir produtos melhores em troca de publicidade”, disse ele <a href="https://www.linkedin.com/feed/update/urn:li:activity:7373716682176958464/" target="_blank">em outra postagem do LinkedIn</a>.</p>
<p>Apesar dessas preocupações, Clancy confirmou que uma dúzia de fornecedores de segurança cibernética ainda estavam participando da edição de 2025 do teste.</p>
<h2><strong>MITRE reiniciará o fórum de fornecedores em 2026</strong></h2>
<p>Clancy disse <em>Segurança da informação</em> que sua equipe pretendia restabelecer o fórum de fornecedores antes das avaliações do MITRE ATT&CK: Enterprise 2026.</p>
<p>“Isso é algo que já estamos trabalhando para restabelecer para a edição de 2026”, disse ele.</p>
<p>Mais tarde, ele tornou essa ambição pública em um post no LinkedIn publicado em 18 de setembro, depois que SentinelOne e Palo Alto anunciaram que não participariam da edição de 2025.</p>
</div>
</div>
</div></div>