Cortex XDR:MITRE 第 3 轮最佳综合预防和检测方案

This post is also available in: English (英语)

在 MITRE ATT&CK 第 3 轮评估中,Cortex XDR 提供了 100% 的威胁保护和 97% 以上的检测可视性。MITRE ATT&CK 评估通过模拟世界上最先进的持续威胁 (APT) 团伙的真实攻击序列,测试主流安全解决方案的检测能力。

深入解读 MITRE ATT&CK 第 3 轮评估结果

2021 MITRE ATT&CK 结果已经出炉!昨日,MITRE Engenuity 发布了第三轮 MITRE ATT&CK 评估,这次评估测试了 29 个受测方案抵御 Carbanak 和 FIN7 威胁团伙使用的策略、技术和程序 (TTP) 的能力。我们很高兴地宣布,Cortex XDR 在面对这些先进的威胁执行方时,再次获得了出色的成绩。

MITRE ATT&CK 第 3 轮检测评分

MITRE 对每次检测和捕获进行分类,根据每种攻击技术整理检测,重点放在分析检测是如何发生的,而不是给供应商的能力评分。如果安全解决方案以不同的方式检测攻击技术,就可能多次检测到这种技术。所有观察到的检测结果都包含在评估结果中。

Cortex XDR 防范 Carbanak 和 FIN7 的结果

Figure 1. Cortex XDR had the highest combined protection and detection results in the evaluation. *Note: Data and charts based on MITRE results minus detections with a “Configuration Change” modifier.

图 1Cortex XDR 的综合保护和检测结果在评估中表现最出色。

*注:基于 MITRE 结果的数据和图表去掉了有“配置更改”修饰语的检测。

 

让人自豪的是,我们的方案能够以强大的结果模式为基础。在抵御 Carbanak 和 FIN7 使用的 TTP 时,Cortex XDR 展现了以下亮点:

  • 在 Windows 和 Linux 端点的保护评估中阻止了 100% 的攻击。
  • 对于攻击技法实现了 97% 的可视性。在所有同时获得完美保护分数的解决方案中,检测率最高。
  • 在不法分子使用的攻击技法中,Cortex XDR 通过分析检测识别出其中的 86%,这种分析检测由 MITRE 定义为提供超出遥测范围的附加情境的检测。
    • 检测出的攻击中有 80% 具有相关的技术水平检测,这是本次评估中得分最高的检测类型。
  • 在评估中实现了最高的总体综合检测和保护率。

ATT&CK 结果表明,我们致力于防止任何可能的威胁,使客户免受最邪恶攻击者的侵害。由于 APT 团伙使用现有的应用和系统工具发动攻击,我们的重点是准确识别和关联这些应用的恶意使用,而不会阻止合法活动。

MITRE ATT&CK 评估的第 3 轮可选择性添加 Linux 端点和评估的“保护”阶段,通过这些新增内容评估解决方案在 Linux 和 Windows 端点上阻止攻击的能力。考虑到我们在威胁预防上出色的既往成绩和针对 Linux 端点的丰富工具,我们选择将两者都加入评估。Cortex XDR 跨 Linux 和 Windows 阻止了所有攻击,并且在所有供应商中具有最高的检测率和检测质量。

图 2Cortex XDR 对于 Linux 和 Windows 两者在保护阶段阻止了 100% 的攻击。

图 3Cortex XDR 提供了第二高的总体可视性和所有供应商中最高的保护分数。

图 4检测出的攻击中有 80% 具有相关的技术水平检测,是此类中的最高分数。

 

Cortex XDR 不仅在第一次 MITRE ATT&CK 保护测试中就阻止了所有攻击,还集成了来自 Palo Alto Networks 新一代防火墙的日志数据,提高了检测的准确性。防火墙日志中包含的应用、用户和内容详细信息丰富了我们的分析功能。由于 Cortex XDR 收集并集成了网络数据和端点数据,因此提供了对应用数据的深度可视性。

图 5Cortex XDR 将网络和端点数据整合在一起,以提供更多详细信息,例如以上所示针对网络连接的 App-ID“msrpc-base”,以便分析人员全面掌握攻击。

通过扩展检测和响应实现深度可视性

虽然最新的 MITRE ATT&CK 评估允许参测方案分析网络数据,但评估侧重的是端点攻击。现实中的攻击通常针对托管端点,但也可能涉及非托管端点、云应用,甚至网络和安全设备。因此,安全团队应考虑一种更全面的方法,超越传统端点检测和响应 (EDR) 的范畴,提供整个企业的可视性。

Cortex XDR 使客户能够通过将 AI 和分析应用于端点、网络和云数据来阻止现代攻击。这种丰富的数据和行为分析的结合不仅有助于提升 Cortex XDR 的评分结果,而且还让 Cortex XDR 能够阻止来自 SolarStorm 团伙的攻击,并在 HAFNIUM 团伙被公开披露之前检测到他们的入侵后活动。

如果您有兴趣了解本次评估中模拟的攻击场景,以及以最佳效果预防和检测这些技法的技术,请加入我们即将举行的在线研讨会“Carbanak+Fin7:MITRE ATT&CK 结果解读。”