MITRE ATT&CK 2024企业安全评估结果深度解析

本文详细分析了Trend Micro在MITRE ATT&CK 2024企业安全评估中的表现,涵盖勒索软件和DPRK针对macOS的攻击技术,展示100%分析覆盖率和70%防护率,并探讨安全团队在检测与警报间的平衡策略。

MITRE ATT&CK 2024企业安全评估结果 | Trend Micro(美国)

作者:Mike Grodzki
发布日期:2024年12月9日
阅读时间:5分钟(1234字)

又一年,又一次MITRE评估。MITRE的优秀团队再次为安全厂商提供了展示其防御现代攻击技术能力的机会。一如既往,Trend Micro积极参评,向您展示我们的实力。

顺便说一句,如果您还没有加入MITRE Slack工作区或在X上关注他们,请及时了解最新的MITRE ATT&CK新闻:联系 | MITRE ATT&CK®

今年的新变化

  • 两个不同的对手焦点领域:针对Windows和Linux的勒索软件,以及朝鲜民主主义人民共和国(DPRK)针对macOS的攻击。
  • 勒索软件:“向更适应的勒索软件即服务(RaaS)模式的演变降低了恶意团体的入门门槛,消除了对自定义恶意软件的需求,使经验不足的操作者也能成功针对组织。勒索软件的民主化推动了全球勒索软件攻击的激增。”
  • DPRK:“朝鲜已成为一个强大的网络威胁,逐渐利用网络行动为其核能力的发展提供资金。通过将焦点扩展到macOS,DPRK获得了针对和渗透额外高价值系统的能力,这是他们在过去几年中越来越多使用的方法。”“macOS模拟将深入探讨受DPRK转向开发复杂多阶段恶意软件启发的对手行为。”

了解更多:ATT&CK®评估

macOS的加入

虽然Windows仍然更普遍且更易受攻击,但仅运行macOS就感到完全安全的时代已经过去。今年,MITRE包含了macOS,以提供更多平台多样化的评估。重要的是要记住,攻击者不会歧视——无论您从事什么行业,运行什么操作系统,身处世界何处,保持警惕都是至关重要的。自然,Trend Vision One可用于Windows、Linux、macOS等。

今年更接近真实世界的测试,我们很高兴MITRE采取了这一步。它使组织能够更好地了解每个供应商如何为现代和新颖的攻击技术做准备。

可见性与检测

不是自夸,但Trend Vision One今年表现出色:

  • 所有主要步骤100%分析覆盖
  • Linux和macOS所有子步骤100%分析覆盖
  • 服务器平台(Windows/Linux)所有子步骤100%分析覆盖
  • 所有子步骤99%分析覆盖

Trend Vision One是否擅长检测威胁?当然是。Trend Vision One让攻击者无处藏身。

在去年的Turla评估中,我们的检测率较低,但仍阻止了每一次攻击,这意味着在任何场景中都没有成功的入侵。我们讨论了检测与噪音之间的权衡。100%的检测令人印象深刻,但也可能导致大量警报,这是安全专业人员再熟悉不过的。今年我们实现了100%的检测和更高的警报量。这说明了安全团队必须处理的权衡:我们是追求完全可见性并接受会有更多警报,还是尽可能限制噪音而不在检测方面牺牲太多?最终,每个组织必须自己决定如何平衡。

同样重要的是,并非所有警报和检测都是平等的。有关键警报,也有(更多)像垃圾邮件填满收件箱的“其他”警报。如果您必须自己筛选所有这些,您可能永远无法完成,并可能在此过程中抓狂。警报优先级是安全团队根本不应该没有的东西。幸运的是,我们在这方面也为您提供了支持。

Trend Vision One的一个优点是它不是非此即彼——我们为您提供工具,让您的团队精确决定想要的位置。Vision One中的Workbench通过关联警报并优先处理它们,同时过滤掉一些噪音和冗余警报,让您安心。另一方面,Vision One中的Observed Attack Techniques为您提供更未经过滤的视图,类似于您在SIEM中可能看到的内容,同时仍按严重性排列警报。Trend客户始终可以访问这两种方法,并且永远不会面对一堆警报而不知所措。我们向您展示从哪里开始调查,并帮助您自动化响应。

还有第三种选择:让别人为您担心一切,收回您的夜晚和周末。您可以在这里阅读我们的MDR团队在最近的MITRE托管服务评估中的表现:攻击者简介:menuPass和ALPHV/BlackCat。如果您正在寻找永不休息的安全,Trend是您的不二之选。

防护

Trend保护企业免受网络威胁的能力几十年来一直是我们的标志。在以前的评估中,Trend阻止100%的威胁是理所当然的。这次,我们阻止了70%,这意味着有3种技术未被Trend Vision One阻止。好消息是,在您阅读本文时,Trend Vision One已更新了所需的防护。但这确实意味着某些应该被阻止的技术未被阻止。但这就是MITRE评估的美妙之处:我们更清楚地了解我们需要下一步改进的一些方面。今年参与的几乎每个供应商在这方面都有改进的空间:证明虽然它是第一道防线,但仅靠防护是不够的。

为什么我们参与这些评估?

它们是我们日常工作的绝佳试金石,并帮助我们保持警惕。我们在全球有数千名满意的客户,但我们之所以存在这么久,是因为我们从不停止,从不满足。我们有一些世界上最好的威胁研究人员全天候工作,确保我们始终领先于攻击者,我们的产品每天都在接受测试。MITRE评估是我们这样做的另一种方式,并向我们的客户展示我们生活并呼吸网络安全,我们永远不会停止。我认为我们对这一使命的奉献是安全专业人员每天从Trend Vision One开始的原因。

“我靠我的Vision One生活和工作。我每天早上的第一件事就是登录。我查看我的分数。”

Troy Riegsecker,基础设施经理,Fischer Homes

当您希望慢慢放松度假时,我们正在为下一波威胁和下一次MITRE评估做准备。一如既往,保持警惕,如果您想了解Trend Vision One如何帮助您领先于攻击者,请查看并免费试用。

阅读去年的评估:解码Turla:Trend Micro的MITRE表现

相关文章

标签:云、漏洞利用与漏洞、报告、APT与定向攻击、终端、勒索软件、网络、文章、新闻、报告

作者:Mike Grodzki,高级产品营销经理

相关文章

查看所有文章

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次