MITRE ATT&CK已是近年来受企业高度关注的新安全攻防框架,而他们发起的ATT&CK评估(ATT&CK Evaluations)也越来越受到安全企业的响应与认可,在4月22日早上9点,我们看到MITRE于凌晨公布了第二轮针对APT29的评估计划结果,这回共有21家安全企业参与,比第一轮更多(初期7家参与、后续5家跟进),特别的是,台湾安全创业公司奥义智能,以及成立已满30年的趋势科技也在其中。随着这次结果的公布,不论是企业或安全企业,都将能借此衡量EDR的侦测能力与覆盖范围。
在此次针对APT 29的评估计划中,共有21家业着参与,包括首轮就有参与的Carbon Black(现为VMware旗下)、CounterTack(并购GoSecure后更名GoSecure)、Crowdstrike、Endgame(被Elastic并购后并更名Elastic)、微软与SentinelOne,以及Cybereason、F-Secure、FireEye、McAfee与Palo alto Networks。
新加入的安全企业有10家,包括Bitdefender、BlackBerry Cylance、Kaspersky、Malwarebytes、Broadcom Symantec,以及台湾奥义智能Cycraft与趋势科技,还有在较少见到的Reaqta、HanSight、Secureworks。
自去年下半就开始进行的第二轮评估计划,现在已公布21家企业各自的结果。目前,在MITRE ATT&CK网站上发布的结果报告中,可以看到这次模拟APT29的攻击套路,比上一轮更严谨,分为20个步骤,以及6大侦测类型。
其中,在侦测能力表现的类型划分上,要比之前要细上许多,在无侦测(None)之外,包含遥测(Telemetry)与专家警告(MSSP),以及有效即时警告的General、Tactic与Technique,其中Technique可视为最好的侦测能力表现。
在MITRE ATT&CK网站上,我们可以查看各家参与企业针对APT 29组织攻击套路在不同攻击步骤时的侦测能力,因此21家企业各自都会有上图这样的评估结果。(图为趋势科技的评估结果。)
基本上,完整的MITRE ATT&CK评估计划报告页面如上图,在下半部的图表则可以看到20步骤的侦测能力明细。
或者,用户也可以切换成ATT&CK Matrix矩阵来查看,而这也是首轮评估结果中最常见的查看方式。
基本上,MITRE表示此计划他们将不会提供评分机制。不过,在结果发布后短短一天多的时间内,一些安全企业也根据这些公开的结果做出相关统计,以呈现其产品的能力与特色。举例来说,像是台湾安全企业奥义智能,以及FireEye与Palo Alto Nerworks等。
图片来源:FireEye
最后值得一提的是,两个月前MITRE也已表示将持续推动这项计划,希望能借由透明的评估过程,帮助用户评估端点检测工具,他们并公布了新一轮评估计划,将同时以Carbanak与FIN7这个黑客组织的攻击手法为设想。