评估使用斜切ATT&CK®检查针对APT29威胁小组的产品。
MITER释放21种网络安全产品的评估结果
弗吉尼亚州麦克莱恩(McLean)和马萨诸塞州贝德福德(Bedford),2020年4月21日 -MITER发布了一套独立评估的结果来自21个供应商的网络安全产品,以帮助政府和行业做出更好的决策,以打击安全威胁并提高行业威胁检测能力。
使用其att&ck®知识库,MITER模仿了APT29的策略和技术,网络安全分析师认为代表俄罗斯政府运营,从2015年开始损害民主党全国委员会。该评估是由供应商支付的,包括Bitdefender的产品。, Blackberry Cylance, Broadcom (Symantec), CrowdStrike, CyCraft, Cybereason, Elastic (Endgame), F-Secure, FireEye, GoSecure, HanSight, Kaspersky, Malwarebytes, McAfee, Microsoft, Palo Alto Networks, ReaQta, Secureworks, SentinelOne, Trend Micro和VMware(碳黑色)。
“ ATT&CK评估通过改善我们依赖的安全产品,并武装最终用户对这些产品能力的武装武器来帮助网络安全社区,以检测已知的对手行为,”对抗性仿真和编排的主管负责人乔恩·贝克(Jon Baker)说。
MITER开发并维护ATT&CK知识库,该知识库基于对手策略和技术的现实世界报告。ATT&CK是免费的,在评估和选择选择方案以改善其网络防御的方案时,捍卫者在行业和政府中被捍卫者广泛使用。
MITER先前评估了Carbon Black,CrowdStrike,Gosecure,Endgame,Microsoft,RSA,Sentinelone,Cybereason,F-Secure,Fifeeye,McAfee和Palo Alto对APPT3的威胁,目前是中国集团所构成的威胁,目前专注于APT3的威胁,监视基于香港的政治目标,并于2018年底开始释放这些结果。
ATT&CK评估负责人Frank Duff说:“我们已经看到,从基于APT3的初步评估到这一轮评估,我们已经看到了巨大的参与增长,因为供应商已经看到了这种测试的价值。”“我们通过与想要改善产品的供应商合作,为评估提供了一种非常协作的方法,这最终使每个人都更安全。”
ATT&CK评估团队之所以选择模拟APT29,是因为它提供了通过自定义恶意软件和替代执行方法(例如PowerShell and WMI)使用技术实现的对手来评估网络安全产品的机会。
该团队还根据对分析师,供应商和最终用户的APT3评估的反馈进行了反馈来更改结果的方式。ATT&CK评估网站现在具有一个工具,使用户能够选择特定的供应商并并排比较他们如何检测到每种技术,以及一个数据分析工具,以更深入地了解他们如何处理这些技术。
该团队还发布了自己的APT29评估火山口™是一种使用ATT&CK知识库开发的自动红色团队系统。这使得对评估感兴趣的用户能够在自己的环境中针对同一对手测试安全产品。达夫说,这对于无力雇用红色团队的组织可能特别有用。
供应商的观点
以色列巴拉克,首席信息安全官(CISO),网络季节:“ ATT&CK评估确实巩固了Cybereason所提出的许多概念,并有助于推动我们的产品管理。我们已经看到,在我们最近和即将发布的版本中,我们如何与MITER一起处理检测,分类调查和响应的概念之间的一致性。”
Microsoft安全研究总经理Dustin Duran:“我们认为,这种开放测试方法使客户对当今面临的动态威胁格局和复杂攻击的看法更加明智。Microsoft actively tracks and protects against these advanced threats like APT29, emulated in this simulation, which is why we’re proud to have contributed tangible threat intelligence on adversary behavior to the MITRE community so defenders can better hunt for, protect against, and ultimately prevent these kinds of attacks.”
卡巴斯基高级威胁研究和软件分类主管弗拉基米尔·库斯科夫(Vladimir Kuskov):“这项独特的技术评估比较了EDR解决方案对现实世界对手活动的功能,并具有前所未有的攻击细节和执行透明度。这样的测试揭示了行业准备解决高级威胁和需要封闭的差距的整体水平。参加测试已成为我们已经用来进一步改善产品的宝贵体验。我们期待参加第3轮,这将重点关注Fin7/Carbanak。”
F-Secure首席研究员JarnoNiemelä:“ Miter的评估帮助我们进一步改善了检测覆盖范围,并改善了解决方案的用户体验。在评估之前,通过内置的MITER ATT&CK®分类改进了F-SECURE的检测和响应解决方案,以提供有关攻击中使用的技术的标准化描述,并且评估对如何改善我们的产品产生了许多其他想法。”
Reeqta首席执行官Alberto Pelliccione:参加斜切评估使我们能够在非常复杂的情况下强调检验hive。通过这项独立的评估,我们能够在一个客观且定义明确的框架/方法中评估我们的知名度和覆盖范围。为了将来的比较目的,我们现在可以依靠该框架作为客观标准。该评估是一种协作环境,帮助我们专注于研究复杂攻击时更重要的功能。我们不断地创新和衡量我们的能力,因此评估的学习对于理解最终用户的优先级是有价值的。
Michael Sentonas,CTO,CrowdStrike:“ CrowdStrike坚信,独立的第三方测试对网络安全行业至关重要,因为它为客户提供了对他们所依赖的解决方案的有效性的无偏见,以阻止每天每天的违规行为。Miter的深厚专业知识使他们能够超越衡量安全解决方案对恶意软件的反应,从而整体上关注扩展攻击,反映了我们每天在现实世界中观察到的复杂技术的类型。CrowdStrike很荣幸能与Miter合作,以衡量和推动网络安全行业的持续改进。”
Cycraft首席执行官Benson Wu:“我们将ATT&CK评估视为出色的竞争地位。最后,供应商可以以透明的方式进行面对面的位置,这对买家和行业的其余部分都是有意义的,这是一个名副其实的蓝色团队网络斗兽场,用于全球领先产品,以基于其真正的能力。最终用户通常会被营销流行语淹没,并在比较产品时避免冗余,弱或不存在的功能时,缺乏具体信息。凭借MITER评估和随附的矩阵,最终用户,供应商,买家和整个行业现在都有词典和地图,以最佳地点,检测,对一举一动,并在面对复杂的攻击时进行有效的沟通。”
Hansight产品管理副总裁Yi Zhou:“整个评估过程是系统性的,但可以帮助我们从不同角度改善产品,包括确定检测中的盲点以改善我们的SIEM相关规则设计,评估不同类型的Windows事件日志数据源的有效性,以进行威胁检测和利用多维评分系统以更客观的方式评估检测结果。”
关于att&ck
att&ck®was created by MITRE’s internal research program from its own data and operations. ATT&CK is entirely based on published, open source threat information. Increasingly, ATT&CK is driven by contributions from external sources. Cybersecurity vendors may apply to participate in the next round of evaluations, which will feature the Carbanak and FIN7 threat groups as the emulated adversaries, viaevals@mitre-engenuity.org。
关于斜切
Miter的任务驱动团队致力于解决更安全的世界的问题。通过我们的公私合作伙伴关系和联邦资助的研发中心,我们在政府和工业伙伴关系中工作,以应对我们国家的安全,稳定和福祉的挑战。
媒体联系人:杰里米·辛格(Jeremy Singer),media@mitre.org