只有 Cortex 才能在 MITRE Engenuity 中提供 100% 的保护和检测

Oct 15, 2023
1 minutes
40 views

This post is also available in: English (英语) 繁體中文 (繁体中文) Français (法语) Deutsch (德语) 日本語 (日语) 한국어 (韩语) Português (葡萄牙语(巴西)) Español (西班牙语) Italiano (意大利语)

2023 年 MITRE Engenuity ATT&CK 评估结果已出炉,结果表明,只有 Cortex XDR 能够提供 100% 的保护和 100% 的分析覆盖率,并且无需配置更改和延迟检测。

第五轮 MITRE Engenuity ATT&CK 评估的结果已经发布,尽管每个供应商都声称自己在所有方面都达到 100% 的效果,但真相在于细节,数据不会撒谎。今年,Cortex 是唯一一家提供 100% 预防和分析检测的供应商。

直接来自 MITRE Engenuity ATT&CK 评估网站的一个插图显示了 2023 年 Turla 评估的第一次检测测试结果。

鉴于网络安全不断发展的形势,比攻击者领先一步有着前所未有的重要性。攻击者不断寻找新的复杂方法突破防线。这是一个规则不断变化的高风险游戏,落后一步后果都可能是灾难性的。

正因如此,MITRE Engenuity 凭借企业 ATT&CK 评估站上了历史舞台,为混乱中的人们提供了一道明亮的指引之光。这些评估已成为 CISO、安全专业人员和任何负责保护组织数字资产的人员的宝贵资源。这类评估不仅是试金石,同时也是在企业面临最神通广大的网络破坏者时所采用的端点安全解决方案的性能评价。

但是,MITRE Engenuity ATT&CK 评估到底是什么?为什么要关心结果?这些年度评估模拟了我们这个时代一些最活跃、最臭名昭著的威胁团伙所采用的战术、技术和程序 (TTP)。MITRE Engenuity 红队邀请网络安全解决方案提供商防御精心设计的攻击(仅检测和预防模式),以提供对以下三种功能的深入了解:

  1. 可视性 – 解决方案可见的内容
  2. 检测 - 解决方案可以准确识别哪些操作是恶意的
  3. 保护 - 解决方案可以防止哪些恶意行为

参与这些评估的供应商数量惊人(今年有 29 家),这是对他们价值的认可,也反映了 MITRE Engenuity 在评估中付出的艰辛努力,以确保他们提供具有挑战性和挑衅性的参与。

第 5 轮 (Turla)

今年是第五届年度评估,MITRE Engenuity 的红队专注于模拟 Turla 的方法,这是我们的 Unit 42 威胁研究团队进行了广泛研究的一个威胁阻止。Turla 是一个资金充足且技术精湛的俄罗斯威胁组织,已经在超过 45 个国家/地区的受害者中植入了病毒。他们的目标是政府机构、军事团体、外交使团以及研究和媒体组织。Turla 的恶名源于其隐蔽的渗透策略,包括针对政府网站的水坑攻击、定制 rootkit、复杂的命令和控制网络基础设施以及欺骗策略。从与参与防御的人员的交谈中可以看出,MITRE Engenuity 在今年的攻击方法的复杂性方面取得了重大进步。

蓝队在 Windows 和 Linux 终端上部署了 Cortex XDR Pro for Endpoint 代理。Cortex XDR 没有部署额外的解决方案,而是被配置为默认设置,就像它刚从盒子里拿出来一样,唯一的更改是启用了隔离恶意文件的功能,对于 Linux,启用了将灰色软件视为恶意软件的选项。

关键指标和评估标准

今年的评估分为两个纯检测场景,名为 Carbon 和 Snake,对应于 Turla 创建和使用的知名工具。接下来是保护阶段,反映检测测试中的技术,注入足够的熵,使其看起来与检测测试不完全相同。这两个检测场景各有 10 个步骤,由多个子步骤组成,这些子步骤映射到 MITRE ATT&CK 框架中的实际技术。每个供应商都有机会看到共 143 个子步骤。对于每个子步骤,MITRE Engenuity 团队都会记录每个解决方案是否检测到所采取的操作。

这些检测中的每一个都根据观察到的检测质量进行分类。

MITRE Engenuity 检测类别:

  • 不适用 – 参与者无法了解被测系统。(如果他们选择退出 Linux 评估,就会出现这种情况。)
  •  – 没有检测到结果。(没有与恶意活动相关的遥测)
  • 遥测 - 由显示事件发生的能力收集的经过最少处理的数据。(这种类型的检测通常是基本的活动记录。)
  • 常规 – 检测到异常事件。但是,未指定 ATT&CK 策略(或等效情境)。(常规 - 这种类型的检测需要安全分析师进行调查,并确定采取了什么行动以及为何采取这些行动。)
  • 战术 – 指定了异常事件的 ATT&CK 策略(或等效情境)。(这种类型的检测可以表明为什么会发生某个操作,但同样会让安全分析师去调查采取了什么行动或技术。)
  • 技术 – 指定了异常事件的 ATT&CK 技术(或等效情境)。(这种水准的检测提供了回答问题所需的情境和详细信息,例如攻击者为什么要执行某项行动,尤其是他们通过什么行动来实现目标。)

MITRE Engenuity 有效地识别了两种类型的覆盖范围:遥测覆盖率和“分析覆盖率”。遥测覆盖率定义为解决方案产生的遥测检测作为其最高价值检测的子步骤数。分析覆盖率定义为包含一般、策略或技术检测的子步骤数。

还有一点值得注意的是,所有检测都可能具有两个检测修饰符之一:

  • 配置变更 - 如果在测试的第四天(即供应商有第二次机会检测他们在初始测试中错过的恶意活动)实现了观察到的检测,则会记录配置更改修饰符。
  • 延迟检测 – 如果没有及时观察到检测,就会记录一个延迟检测修饰符,这意味着在采取行动和在供应商的控制台中观察到检测时会发生明显的延迟。

对于保护场景,有 129 个子步骤,分为 13 个主要步骤。在这些子步骤的情况下。每个保护子步骤要么被阻止,要么未被阻止,并记录为以下内容之一:

  • 受保护 – 恶意活动被阻止。
  • 不适用(受保护)– 当预防步骤中的先前子步骤被阻止,从而无法执行后续子步骤时,就会发生这种情况。
  •  – 这意味着恶意活动未被阻止。

Cortex XDR 表现如何?

这些评估的目的是深入了解三种能力:

  1. 可视性 – 解决方案可见的内容
  2. 检测 - 解决方案可以准确识别哪些操作是恶意的
  3. 保护 - 解决方案可以防止哪些恶意行为

Cortex XDR 独自提供 100% 保护同时提供 100% 的 可视性和 100% 的分析范围(检测)零配置更改或延迟检测。

此外,我们的检测质量是无与伦比的,143 项检测中有 142 项属于技术水平检测 – 最高质量的检测。另一项检测被认为是战术级检测。保护评估中的 129 个子步骤中的每一项都被阻止。所有这一切都是通过零“配置更改”和零“延迟检测”来完成的。事实上,如果我们排除配置更改导致的检测,Cortex XDR 是唯一没有漏检(检测类型为无)的供应商。换句话说,Cortex XDR 是唯一一个具有 100% 可视性的解决方案。

The Palo Alto Networks MITRE Engenuity ATT&CK Evaluations Dashboard. Snapshot showing results from the 2023 Turla evaluation.

Palo Alto Networks MITRE Engenuity ATT&CK 评估仪表板。显示 2023 年 Turla 评估结果的快照。

本年度的评估结果反映了 Palo Alto Networks 在对抗性研究和终端安全工程方面持续投入的巨大努力,这些知识将有助于帮助我们的客户在日益敌对的网络世界中保持安全。

诠释 100%

如果您关注 ATT&CK 评估已有一段时间,您可能会觉得 100% 这个数字很稀松平常。但是请不要混淆,如果其他解决方案声称在本年度评估中达到 100%,这表示他们在所有主要步骤中至少有一次成功的检测或预防行为,并不代表所有情况。只有 Cortex 能够针对每个恶意操作提供相应的检测(即子步骤)。

100% 的检测和预防是我们所有人的努力目标。正如 Forrester 的 Allie Mellen 在去年的评估后指出的那样,“检测威胁行动者发起的攻击应该是安全产品功能的底限而非上限。”1对此,我们完全赞同,Cortex XDR 正在努力践行这一标准。

Allie 也指出,诚然,或许 100% 并不总是一件好事,因为,如果解决方案对每种技术都进行检测,就可能会产生干扰、提高误报发生的几率,产生过多的警报。”我们也赞同这一观点,所以我们大量利用机器学习来了解哪些活动表示正常操作,哪些表示潜在的恶意操作。对于 Cortex XDR 来说,这一点得到了进一步加强,因为我们整合了来自许多其他关键数据源的额外遥测数据,这些数据提供了关键的上下文线索,帮助确定您的调查重点。

探索 ATT&CK 评估结果

首先,我们要向 MITRE Engenuity 致敬,因为今年比往年更具挑战性。另外,我们对他们为帮助防御者做出明智决策所做的改进感到非常兴奋。MITRE Engenuity 网站上托管的 ATT&CK 评估结果现在允许您将三个供应商的结果进行并排比较。您可以选择三个评估方案其中之一,并选择最多三个供应商。默认情况下,显示的结果包含延迟检测以及因配置更改而导致的结果。不过,您还可以查看删除了这些修饰符后的检测结果。

通过 MITRE Engenuity ATT&CK 评估网站,您可以查看保护评估结果。只有 Cortex XDR 可以实现 100% 预防。

多年来,我们一直听说很难理解 ATT&CK 评估结果,因为没有数据可视化工具允许您查看所有供应商的结果。为了实现这一目标,我们创建了一个工具来帮助您探索今年以及往年的结果。借助此工具,您可以选择您感兴趣的供应商以及模拟的特定攻击者。所有生成的图表都是直接根据 MITRE Engenuity 为每个参与供应商提供的 JSON 文件构建的。了解 ATT&CK 评估结果有助于为您自己提供帮助,通过数据确定最佳选择,捍卫您的业务。

Palo Alto Networks MITRE Engenuity ATT&CK 评估仪表板。显示所有 5 年评估结果的快照,绘制了技术级别检测和被阻止的子步骤。
  1. Forrester® 和 Allie Mellen。“首席分析师。”MITRE ATT&CK 评估:实现 100% 覆盖率并不是像供应商说的那么好,Forrester®,2022 年,https://www.forrester.com/blogs/mitre-attck-evals-getting-100-coverage-is-not-as-great-as-your-vendor-says-it-is/。访问日期:2023 年 9 月 19 日。

Subscribe to the Newsletter!

Sign up to receive must-read articles, Playbooks of the Week, new feature announcements, and more.