4月4日讯 向美国政府提供系统工程、研究开发和信息技术支持的美国非营利性组织 MITRE 正在针对一个基于 ATT&CK(对抗战术、技术与常识)知识库的端点检测和响应(EDR)产品进行评估,以加强行业和客户的网络攻击对策。
第一轮的产品评估将根据 ATT&CK 数据仿真模拟 APT3/哥特式熊猫(国外安全企业普遍认为是中国的黑客组织)的攻击技巧进行开展,评估重点关注产品侦测对手行为的技术能力,即该产品是否具备侦测高级持续性威胁(APT)的能力。
ATT&CK威胁检测知识库
ATT&CK(对抗战术、技术与常识)是在公共和私营公司、学术机构和政府机构的帮助下建立的一个全球性网络对手战术和技术知识库。该知识库能够阐明威胁,并以通用的语言和框架来定义,从而跨越多学科的障碍以推动安全性的改进。通过在许多不同的组织中收集各种各样的攻击检测分析,用户可以更好地检测到攻击者,进而创建弹性和欺骗性策略,帮助客户快速适应和应对网络攻击。
MITRE 官方称,ATT&CK 是一套针对网络对手行为的数据库模型,旨在反映敌对方生命周期内的各个阶段以及其所能掌握的目标平台,适用于理解已知的对手行为可能带来的安全风险、规划安全改进、以及验证防御措施是否能够带来与预期相符的收效等工作。据悉,研究人员可以利用 ATT&CK 模拟攻击者在企业网络中操作时可能采取的行动。
首轮评估仿真模拟对象:黑客组织APT3
MITRE 对基于ATT&CK知识库的端点检测及响应(EDR)产品的评估,不仅能够评估这套知识库的服务与效果,还将确定基于ATT&CK的EDR产品是否具备检测高级威胁的能力。首轮评估以APT3哥特式熊猫为仿真模拟对象,借此以评估该产品侦测这种威胁的能力。
MITRE 首席网络安全工程师弗兰克·杜夫表示,市场上已有不少宣称能够对敌对方的活动进行检测的产品,MITRE 希望弄清楚这些产品的具体效能,并将提供一套透明的方法体系与知识库以解释使用特定服务所能获得的结果。杜夫认为,共享攻击者相关 TTP (通讯协议)信息非常重要,而这种主动性将能进一步保障网络安全社区发挥的作用。
微软 Windows Defender 事业部的杰西卡·佩恩盛赞 MITRE ATT&CK 服务:
@MITREattack数据库列出了多种攻击及各攻击方的 TTP。您可以在自己的网络上对其进行监控: https://t.co/NDMitTKda2
—杰西卡·佩恩 (@jepayneMSFT) 2017年7月21日
如果大家考虑过“APT是如何实现的?”或者希望真实模拟敌对方的行动,那么这套数据库将是个很好的起点。
— 杰西卡·佩恩(@jepayneMSFT) 2017年7月21日
这套知识库最初被设计为一款收集性工具,旨在帮助演习中的对抗双方以及企业高管更轻松地就公开可用信息源进行沟通和讨论。
ATT&CK 提供了一套对安全违规事件进行评估的通用框架,利用 ATT&CK 的客观与开放测试,用户将能够提供自身安全保障能力,并有助于推动整个端点检测与响应市场的顺利发展。此外,MITRE 表示内部信息不会对知识库内容造成影响。
MITRE邀请更多厂商加入该计划
MITRE 在一份声明中表示,作为 MITRE 公正网络评估项目的重要组成部分,各网络安全供应商应明确阐述其自身能力并获取MITRE 网络专家提出的产品改进反馈意见,例如 ATT&CK 技术测试结果、评估人员执行的具体操作以及产品检测到模拟对手行为能力的详细信息。
目前,MITRE 呼吁更多网络安全厂商加入这一评估项目,且首轮截止日期定于2018年4月13日。
MITRE 的客户包括了美国国防部、联邦航空管理局、美国国税局、美国退伍军人事务部和国土安全部等。除此之外,MITRE还向各国民航管理机构、机场管理公司、航空公司及其他航空组织提供空中交通管理(ATM)系统工程、航空运营、空域设计以及系统自动化与集成等领域提供专业知识和技术支持。2012年,在科技博客评选出的美国最适合工作的25家科技公司中,该公司位列第四。
声明:本文来自E安全,版权归作者所有。文章内容仅代表作者独立观点,不代表士冗科技立场,转载目的在于传递更多信息。如有侵权,请联系 service@expshell.com。