第3轮Carbanak / Fin7结果评估

上个月,MITRE Engenuity公司的研究人员发布了他们最新的ATT&CK评估结果,为企业提供了一个机会,让它们对自己的安全需求做出明智的选择。今年,通过建模ATT&CK测试由黑客组织攻击方法部署后Carbanak FIN7,横切Engenuity最新的评估了灯的一些最受信任的网络安全解决方案如何在市场表现与一些最多产的和先进的战术和技术的攻击者。

这些结果可以让任何企业考虑重新评估其网络安全策略,但在作出结论之前,企业应该考虑他们所阅读的结果是否对他们自己的情况有意义。

例如,当您将它们放入现实世界环境和经验的背景时,结果特别有趣。As such, it’s critical that organizations without the in-house expertise of a SOC use solutions that are intuitive and effective: The barrage of security alerts can overwhelm, many IT and security teams aren’t going to be able to easily identify the ones that matter, and the more time they spend in the data weeds, the less time they have to dedicate to growing the business. These organizations also may not be set up to tackle the complex configuration updates some products require to deliver quality results.

因此,虽然ATT&CK评估结果确实显示了端点检测和响应(EDR)产品范围- 言语如何很多这些产品可以在环境中进行检测——评估数据的质量(而不仅仅是数量)以及结果是否容易被团队复制和执行也很重要。

在他们的文章中”赢得MITRE ATT&CK,忽略客户” Forrester analysts Jeff Pollard and Allie Mellendo explore this exact challenge, noting that “’domination’ of the results does not prove the tool will be effective given your infrastructure, your team, or your business goals,” and that the ATT&CK Evaluation is “focused on the TOOL.”

波拉德和梅伦多说:“它并不注重体验。”有很多优秀的产品部署得很差,根本没有部署,配置错误,或者缺乏正确的可见性,无法发挥最大的效果。”为了让我们的读者了解今年的ATT&CK评估,我们将听取包括Pollard和Mellen在内的专家的意见,我们将应用前Forrester分析师Josh Zelonis去年创建的框架来评估第二轮APT29结果(Zelonis在他的报告中更新了第三轮APT29的框架)GitHub库).

因此,我们将显示的图表显示您可能看起来不像你在互联网上看到的图表。我们明白这一点。但我们认为向您展示开箱即用的可操作信息是重要的,因为它是为您提供真正的信息。而且,这适用于今年ATT和CK评估中包含的所有网络安全提供者。

考虑到这一点,我们还将在下文进一步解释我们是如何得出以下结果的:

保护和检测结果相结合

消除配置更改

首先,Zelonis的框架丢弃了改进检测功能的中期测试配置变化。

在测试期间,供应商可以选择更改标准设置,以更好地检测正在测试的攻击者技术。这些修改后的配置可能不是客户的默认设置,因为它们会导致太多的警报。最好不要有一个检测规则,你知道它会产生噪声,产生假阳性,让你摸不着头脑,不知道这些信号中真正重要的是什么。同样,在内部进行这些相同的配置更改对许多客户来说也是不合理的期望。供应商自己有一个专家团队来审查结果,决定要做的更改,并作出回应。

为了将测试结果映射到许多客户的需求和知识,我们将丢弃具有影响产品检测功能的重要配置更改的任何步骤。现在,我们可以更好地比较开箱即用的产品配置和警报调查体验。

确定警报质量

当您希望快速确定您需要调查和响应时,警报质量也至关重要。我们建议您使用以下内容来帮助解释ATT&CK评估结果:

安全分析

在该测试中,可以是三种类型的警报中的任何一种,策略和技术 - 并且这些检测类型存在层次结构。

丰富的数据-警报

最高质量的警报是技术。他们是真正的细节发挥作用的地方,你知道你在处理什么,采取的具体步骤,以及迅速调查什么。例如,比较以下两个警报:

  1. “执行的PowerShell脚本”
  2. “T1041–通过命令和控制通道进行过滤”

后者提供了关于发生的事情的精确,可操作的细节 - 数据盗窃以及如何。

供应商结果中的技术越多,其EDR产品的分析能力越好,调查也越快。因此,我们通过将技术警报总数除以检测总数来确定由EDR产品触发的警报的质量。

可操作警报占检测总数的百分比

我们坚信,在评估EDR产品时,小型IT和安全团队应优先考虑警报质量而不是数量,而企业和MSP也将受益于更丰富的SOC数据。

质量率

EDR供应商应努力实现开箱即用的高质量警报,但他们还必须为IT和安全团队触发足够的高质量警报,以获得关于攻击者所采取的每一个行动的最重要的详细信息。为了完成这个数据透视图,我们通过将技术警报总数除以测试期间的步骤总数来定义质量率。每个步骤都有质量警报吗?

质量警报的百分比

获取完整的图片

最后一次考虑是值得的。EDR是今天一个必不可少的端点安全战略,但端点保护 - 故事的预防方面也发挥着关键作用,甚至更多的人对于那些不寻求雇用或投资事件响应团队的人。正如噪音的降低,有助于您在警报中归零,请减少攻击表面评估漏洞,并确保防御中的弱点 - 帮助您限制通过的威胁,以便您可以更轻松地响应它们。

在第三轮评估中,MITRE Engenuity还评估了保护能力。让我们结合保护和检测结果来获得完整的图像:

保护和检测结果相结合

在上下文中查看时,Malwarebytes对攻击必威平台APP链的早期阶段的10个攻击中的八分之一。必威平台APPMalwarebytes不是仅限EDR的解决方案。它是一个完整的集成EP + EDR解决方案,为所有类型的现代网络攻击提供多层防御深度,同时仍然可以通过各种尺寸的组织开箱即用。

我们分享这些信息以供参考。公司在购买网络安全解决方案时,应该确切地知道他们在购买什么,他们应该知道这些解决方案是如何进行测试的,包括测试的条件、环境和实际应用。

在Ma必威平台APPlwarebytes,我们必须对那些真实世界的应用程序保持现实。对于许多企业来说,网络安全是一种“一劳永逸”的产品,而能够定期调整警报设置的内部SOC和内部团队则是奢侈品。这只是一个事实,网络安全行业是否喜欢这个事实并不重要,重要的是网络安全供应商是否愿意诚实地支持其客户的需求。