2022年 4月,MITRE Engenuity 发布了最新一轮的 EDR 安全解决方案评估报告。
包括 Bitdefender 在内的 30 款安全解决方案接受了 Wizard Spider (巫师蜘蛛)和 Sandworm Team (沙虫)的APT挑战测试。
Wizard Spider 和 Sandworm Team 简介
Wizard Spider 是一个出于经济动机的网络犯罪集团,自 2018 年 8 月以来一直针对大型企业和医疗机构等各种组织开展勒索攻击活动。
Sandworm Team是一个具有破坏性的俄罗斯 APT组织,已被美国司法部和英国国家网络安全中心归咎于俄罗斯GRU 74455 。Sandworm Team 最引人注目的攻击包括 2015 年和 2016 年针对乌克兰电力公司的攻击以及 2017 年的 NotPetya 攻击。Sandworm Team沙虫团队从 2009 年开始就一直非常活跃。
2022年的 MITRE ATT&CK 第4轮评估侧重于数据加密的影响技术 ( T1486) 。攻击者可能会加密目标系统或网络中大量系统上的数据,以中断系统和网络资源的可用性。
Wizard Spider 网络犯罪集团的代表勒索软件包括:Ryuk ( S0446 ) 和 Conti ( S0575 ) ,臭名昭著。
以 NotPetya 恶意软件 ( S0368 )闻名的 Sandworm Team沙虫团队代表了一种更险恶的数据擦除恶意软件,旨在造成不可逆转的破坏。
因此,这次的 Mitre ATT&CK 评估非常具有代表意义,非常及时—Conti 勒索软件在最近一次泄漏后受到安全研究人员的详细审查,而类似 NotPetya 这样的数据擦除恶意软件Hermetic Wiper,最近被部署到了乌克兰-俄罗斯战争。
MITRE Engenuity ATT&CK® 2022 年度评估的技术范围
今年的 MITRE ATT&CK® 评估场景包含 109 个攻击子步骤,涵盖了广泛的 ATT&CK® 战术和技术。
对于 Wizard Spider 和 Sandworm 评估,将突出显示 ATT&CK 技术在本次评估的范围内。Linux 技术包含在本次评估的范围内,但仅代表评估的一小部分。评估的 Linux 部分对参与者来说是可选的。这也将标志着影响策略首次进入评估范围。
在 MITRE ATT&CK 导航器中查看Wizard Spider 和 Sandworm 评估的范围内技术。专门归属于巫师蜘蛛的范围内的技术以紫色突出显示,特别归属于沙虫的蓝色突出显示,而巫师蜘蛛和沙虫都以灰色突出显示。
MITRE ATT&CK® 2022年度评估结果
品牌 | 分析覆盖 | 遥测覆盖 | 可见性 |
GoSecure | —— | —— | —— |
HanSight | —— | —— | —— |
Kaspersky | —— | —— | —— |
Micro Focus | —— | —— | —— |
Open Text | —— | —— | —— |
RSA | —— | —— | —— |
Secureworks | —— | —— | —— |
Bitdefender | 106 | 3 | 106 |
Check Point | 103 | 3 | 103 |
Cynet | 102 | 11 | 107 |
Trend Micro | 100 | 13 | 105 |
Microsoft | 96 | 5 | 98 |
CrowdStrike | 94 | 16 | 105 |
Broadcom Symantec | 87 | 5 | 92 |
Fidelis | 85 | 22 | 94 |
Fortinet | 85 | 9 | 87 |
FireEye | 85 | 6 | 89 |
McAfee | 84 | 26 | 107 |
Malwarebytes | 83 | 0 | 83 |
Uptycs | 81 | 15 | 92 |
Cisco | 74 | 26 | 90 |
Elastic | 71 | 35 | 98 |
BlackBerry Cylance | 71 | 24 | 89 |
ESET | 69 | 17 | 75 |
Sophos | 67 | 27 | 88 |
F-Secure | 66 | 17 | 83 |
CyCraft | 64 | 13 | 77 |
ReaQta | 62 | 9 | 71 |
AhnLab | 59 | 24 | 83 |
Deep Instinct | 59 | 15 | 63 |
VMware Carbon Black | 57 | 33 | 90 |
Qualys | 50 | 23 | 66 |
Somma | 28 | 41 | 68 |
Rapid7 | 23 | 46 | 62 |
- Bitdefender GravityZone 平台为 109 个子步骤中的 106 个 (97%) 提供了分析见解,并为 109 个子步骤中的 103 个 (95%) 提供了技术级别的描述。
- Bitdefender 检测到 106个的 Windows 上的主要攻击步骤,
- Bitdefender 100% 检测到了针对 Linux 系统的所有攻击技术。
为什么 MITRE ATT&CK® 的评估具有独特的价值?
在充斥着过度宣传的安全市场中,通过独立第三方测试,POC验证功能至关重要。AV-Comparatives 和 AV-TEST是评估EPP端点保护安全解决方案的行业权威组织,而MITRE Engenuity ATT&CK® 评估则只关注于EDR的能力评估,因此在安全供应商和从业者中越来越受欢迎。
MITRE ATT&CK® 评估在许多方面都是独一无二的。MITRE 不是测试解决方案阻止网络威胁的能力,而是模拟APT攻击的完整行为,他们要通过预防层。为此,已禁用测试安全解决方案的阻止行为或预防功能,以便评估可以专注于EDR的检测、遥测和分析能力。MITRE ATT&CK® 知识库框架用于为所有评估的供应商提供通用词汇表和对齐方式。
CISO 和安全团队如何解读结果?
在评估此数据时,我们建议首先了解您的需求并确定在当前威胁形势下与您的组织最相关的技术。此练习可以帮助识别您当前部署的安全控制和关键指标中的差距,以监控您的特定需求。为了有效实施 ATT&CK® 框架,我们还建议根据您的特定业务优先级对其进行调整。
EDR端点检测和响应 和 XDR扩展检测和响应 解决方案的基本价值是最大限度地减少攻击者的停留时间。MITRE ATT&CK® 评估在描述供应商是否收集了正确的数据(遥测),并具有所需的分析能力以通过识别策略和技术为这些检测提供上下文时最有价值。
Bitdefender XDR/EDR/虚拟化安全/容器安全/免费试用:
https://www.bitdefender-cn.com/business/free-trials.html
扫码添加 Bitdefender 微信,获取Bitdefender EDR文档资料,EDR POC方案