MITRE ATT&CK 2024企业安全评估结果深度解析

本文详细分析了Trend Micro在MITRE ATT&CK 2024评估中的表现,涵盖勒索软件和DPRK针对Windows、Linux和macOS的攻击技术,展示100%检测覆盖率和70%防护率,探讨安全团队在警报量与检测精度间的平衡策略。

MITRE ATT&CK 2024企业安全评估结果 | Trend Micro (美国)

又一年,又一次MITRE评估。MITRE的优秀团队再次为安全厂商提供了展示其防御现代攻击技术能力的机会。一如既往,Trend积极参评,向您展示我们的实力。

顺便说一句,如果您还没有加入MITRE Slack工作区或在X上关注他们,请及时了解最新的MITRE ATT&CK新闻:联系 | MITRE ATT&CK®

今年的新变化?

  • 两个不同的对手焦点领域:针对Windows和Linux的勒索软件,以及针对macOS的朝鲜民主主义人民共和国(DPRK)攻击。
  • 勒索软件:“向更适应的勒索软件即服务(RaaS)模式的演变降低了恶意团体的入门门槛,消除了对自定义恶意软件的需求,使经验不足的操作者也能成功针对组织。这种勒索软件的民主化推动了全球勒索软件攻击的激增。”
  • DPRK:“朝鲜已成为一个强大的网络威胁,逐步利用网络行动为其核能力的发展提供资金。通过将焦点扩展到macOS,DPRK获得了针对和渗透额外高价值系统的能力,这是他们在过去几年中越来越多使用的方法。” “macOS模拟将深入探讨受DPRK转向开发复杂多阶段恶意软件启发的对手行为。”
  • 了解更多:ATT&CK®评估

macOS - 虽然Windows仍然更普遍且更易受攻击,但仅仅运行macOS就感到完全安全的时代已经过去。今年,MITRE包含了macOS,以提供更多平台多样性的评估。重要的是要记住,攻击者不会歧视——无论您从事什么行业,运行什么操作系统,身处世界何处;保持警惕至关重要。自然,Trend Vision One可用于Windows、Linux、macOS等。

今年更接近真实世界的测试,我们很高兴MITRE采取了这一步。它让组织更好地了解每个供应商如何为现代和新颖的攻击技术做准备。

可见性和检测

不是自吹自擂,但Trend Vision One今年表现出色:

  • 所有主要步骤100%分析覆盖
  • Linux和macOS中所有子步骤100%分析覆盖
  • 服务器平台(Windows/Linux)中所有子步骤100%分析覆盖
  • 所有子步骤99%分析覆盖

Trend Vision One擅长检测威胁吗?当然是的。Trend Vision One让攻击者无处藏身。

在去年的Turla评估中,我们的检测率较低,但仍阻止了每一次攻击,意味着在任何场景中都没有成功的漏洞。我们讨论了检测与噪音之间的权衡。100%的检测令人印象深刻,但也可能导致大量的警报,这是安全专业人员再熟悉不过的。今年我们有100%的检测和更高的警报量。这说明了安全团队必须处理的权衡:我们是追求完全可见性并接受会有更多警报,还是尽可能限制噪音而不在检测方面牺牲太多?最终,每个组织必须自己决定在哪里取得平衡。

同样重要的是要注意,并非所有警报和所有检测都是平等的。有关键警报,也有(更多)‘其他’警报,有点像填满您收件箱的垃圾邮件。如果您必须自己筛选所有这些,您可能永远无法完成,并可能在此过程中抓狂。警报优先级是安全团队根本不应该没有的东西。幸运的是,我们在这方面也为您提供了保障。

Trend Vision One的一个伟大之处在于它不是非此即彼——我们给您工具,让您的团队精确决定他们想要的位置。Vision One中的Workbench通过关联警报并优先处理它们,同时过滤掉一些噪音和冗余警报,让您安心。另一方面,Vision One中的Observed Attack Techniques给您一个更未过滤的视图,类似于您在SIEM中可能看到的,同时仍按严重性排列警报。Trend客户总是可以访问这两种方法,并且永远不会面对一堆警报而思考"…现在怎么办"。我们向您展示从哪里开始调查,并帮助您自动化响应。

还有第三种选择:让别人为您担心一切,收回您的晚上和周末。您可以在这里阅读我们的MDR团队在最近的MITRE托管服务评估中的表现:攻击者简介:menuPass和ALPHV/BlackCat。如果您正在寻找永不睡眠的安全,Trend是您的不二之选。

防护

Trend保护企业免受网络威胁的能力几十年来一直是我们的标志。在以前的评估中,Trend会阻止100%的威胁是必然的结论。这次,我们阻止了70%,这意味着有3种技术未被Trend Vision One阻止。好消息是,在您阅读本文时,Trend Vision One已更新了所需的防护。但这确实意味着某些应该被阻止的技术未被阻止。但这就是MITRE评估的美妙之处:我们更清楚地了解我们需要下一步努力的一些事情。今年参与的几乎每个供应商在这方面都有改进的空间:证明虽然它是第一道防线,但仅靠防护是不够的。

为什么我们参与这些评估?

它们是我们日常工作的一个很好的试金石,并帮助我们保持警惕。我们在全球有数千满意的客户,但我们之所以存在这么久,是因为我们从不停止,从不满足。我们有一些世界上最好的威胁研究人员全天候工作,确保我们始终领先于攻击者,我们的产品每天都在接受测试。MITRE评估是我们这样做的另一种方式,并向我们的客户展示我们生活并呼吸网络安全,并且我们永远不会停止。我认为我们对这一使命的奉献是安全专业人员每天从Trend Vision One开始的原因。

“我生活并死于我的Vision One。我每天早上的第一件事就是登录。我看我的分数。” Troy Riegsecker, 基础设施经理, Fischer Homes

当您 hopefully 慢慢为假期放松时,我们正在为下一代的威胁和下一次MITRE评估做准备。一如既往,保持警惕,如果您想了解Trend Vision One如何帮助您领先于攻击者,查看并免费试用。

阅读去年的评估这里:解码Turla:Trend Micro的MITRE表现

相关文章

  • 揭示后果:Operation Cronos对LockBit在里程碑式破坏后的影响
  • 勒索软件聚焦:LockBit
  • LockBit试图通过新版本保持浮出水面

标签: 云 | 漏洞利用与漏洞 | 报告 | APT与针对性攻击 | 终端 | 勒索软件 | 网络 | 文章、新闻、报告

作者: Mike Grodzki, 高级产品营销经理

相关文章:

  • 关键Langflow漏洞(CVE-2025-3248)被积极利用以传递Flodrix僵尸网络
  • 重新审视UNC3886战术以防御当前风险
  • 回归业务:Lumma Stealer以更隐蔽的方法回归

查看所有文章

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次