微軟認為:在安全產(chǎn)品組合中必須內置由 AI 驅動(dòng)的智能系統,以提供用戶(hù)開(kāi)箱即用的保護。我們的產(chǎn)品應該盡可能減少復雜的配置或手動(dòng)定制設置,即可進(jìn)行檢測和保護。并且必須對報警提示進(jìn)行優(yōu)化,面對海量的報警提示往往是造成企業(yè)安全團隊無(wú)從下手的主要原因。
MITRE ATT&CK 評估是什么?
MITRE Engenuity ATT&CK 評估是全球網(wǎng)絡(luò )安全行業(yè)頭部公司的實(shí)戰大比武,以 APT 組織 FIN7 加 Carbanak 所采用的攻擊技術(shù)為測試目標,評估中包括對整個(gè)攻擊鏈中超過(guò)174個(gè)步驟的安全檢測和保護,除了包含 Windows 客戶(hù)端、Windows 服務(wù)器之外,也第一次引入了 Linux 系統設備。是以 APT 組織所采用的實(shí)際 APT 攻擊技術(shù)進(jìn)行實(shí)戰、驗證安全解決方案的安全監測與防護能力的評估。
在今年的評估中,我們的 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 方面提供了市場(chǎng)領(lǐng)先的安全防護能力,可以為我們的用戶(hù)提供:
- 最佳的整體防護:Microsoft Defender for Endpoint 成功阻止了攻擊測試中的所有步驟,并讓攻擊停止于最初的階段。
- 在 Linux 上提供出色的檢測和保護:Microsoft Defender for Endpoint 是少數幾個(gè)有能力檢測到 Linux 上所有攻擊步驟并全面阻止攻擊的廠(chǎng)商之一。
- 卓越的檢測能力和攻擊鏈可見(jiàn)性:微軟提供了100%的攻擊鏈步驟的覆蓋率,將1,700多個(gè)檢測結果合并為兩個(gè)端到端攻擊的綜合事件。
我們在 ATT&CK 評估中的操作與在客戶(hù)環(huán)境中是完全一樣的,可以通過(guò)自動(dòng) AI 和行為算法提供開(kāi)箱即用的防護能力和檢測功能。不需要特殊的復雜操作,也不存在任何防護性能的差距。雖然檢測性能是此次評估的主要衡量標準,但是攻擊活動(dòng)——包括警報、技術(shù)和受影響的資產(chǎn)——是如何被關(guān)聯(lián)到一起,成為一個(gè)連貫的端到端攻擊事件同樣重要。對于安全團隊來(lái)說(shuō),幫助 SOC 分析師高效地調查和應對各種高級攻擊是至關(guān)重要的。
跨 Microsoft 365 Defender 的協(xié)調檢測和可見(jiàn)性與自動(dòng)化、優(yōu)先級和預防相結合,是阻止這些高級攻擊的關(guān)鍵
1. 最佳防護意味著(zhù)防止威脅影響企業(yè)的數字資產(chǎn)
今年的 MITRE Engenuity Carbanak+FIN7 評估提供了一個(gè)新的基準:衡量參與者是否能夠防止高級攻擊。我們認為,授權保護不僅僅是對攻擊的認識;防止攻擊才是成功保護客戶(hù)企業(yè)安全的關(guān)鍵。
如下圖所示,我們在每次測試的最早階段都成功介入并阻止了模擬攻擊,處于保護測試功能的頂部。Microsoft Defender for Endpoint 會(huì )在模擬攻擊中進(jìn)行精確攔截和主動(dòng)報警,提供了一個(gè)清晰的攻擊被阻止的企業(yè)安全風(fēng)險事件。
▲各廠(chǎng)商在最早階段阻止攻擊的次數。微軟在六次防護測試中成功地在最早的時(shí)間點(diǎn)上攔截并化解了攻擊。
2. 微軟提供頂級的跨平臺保護能力和檢測功能
Microsoft Defender for Endpoint 在各種平臺上提供開(kāi)箱即用的全面可視性、防護能力和檢測功能,包括 macOS、多種 Linux 版本、Android 和 iOS 搭載多種系統的設備。
今年,MITRE Engenuity 強調了跨平臺保護的重要性,包括對 Linux 文件服務(wù)器的攻擊,包括系統發(fā)現、數據收集以及使用遠程服務(wù)或哈希傳遞攻擊(pass-the-hash)在 Windows 和 Linux 之間的橫向移動(dòng)等多種高級技術(shù),還模擬了針對 Linux 平臺的保護測試。
我們在 Linux 的所有攻擊步驟中都獲得了最好的覆蓋結果。如下圖所示,Microsoft Defender for Endpoint 對模擬的 Linux 攻擊技術(shù)實(shí)現了100%的檢測。在保護測試中,在執行的第一階段就阻止了攻 擊,使微軟成為 Linux 保護和檢測的四大廠(chǎng)商之一。
圖片▲在 Linux 上執行的模擬攻擊步驟,每一列代表各安全廠(chǎng)商檢測到的風(fēng)險數量。在攻擊最早的階段便介入阻止攻擊的廠(chǎng)商用淺藍色表示。
3. 基于事件的方法實(shí)現了實(shí)時(shí)的威脅優(yōu)先排序和補救措施
在故意關(guān)閉保護功能的測試中,微軟在所有20個(gè)測試的攻擊階段和不同的平臺上顯示了卓越的覆蓋深度和可視性。提供了87%的測試技術(shù)覆蓋率,代表了整個(gè)攻擊鏈的端到端檢測。
圖片▲各廠(chǎng)商的總檢測計數,顯示了 Microsoft 領(lǐng)先的安全檢測功能。我們還可以將所有報警信號關(guān)聯(lián)為兩個(gè)事件 (代表不同的攻擊),從而優(yōu)化了報警信息的數量確保企業(yè)安全團隊能夠更加直觀(guān)高效地調查攻擊行為。
跨領(lǐng)域可視度是防御現代化攻擊的關(guān)鍵
在信息安全威脅日益復雜的時(shí)代,企業(yè)對于企業(yè)級安全產(chǎn)品及服務(wù)的需求急劇增加,以幫助企業(yè)保護電子郵件、數據、設備和用戶(hù)身份安全,抵御不斷增加且破壞性越來(lái)越大的網(wǎng)絡(luò )威脅風(fēng)險,并逐步提高內部信息安全。橫向移動(dòng)攻擊就是其中一個(gè)典型的例子,黑客會(huì )在被攻擊的環(huán)境移動(dòng)以達到獲得寶貴信息及造成最大損害為目標。安全軟件的偵測及跟蹤橫向移動(dòng)是攻擊調查和移除威脅的重要一環(huán)。
全方位掌控身份和權限,防護無(wú)死角
運用 Microsoft Defender for Identity 監視并分析網(wǎng)絡(luò )中的用戶(hù)活動(dòng)和信息(例如權限和組成員身 份)。然后,Microsoft Defender for Identity 通過(guò)自適應內置智能識別異常情況,讓公司深入了解可疑活動(dòng)和事件、揭示公司面臨的高級威脅、用戶(hù)侵害和內部威脅。Microsoft Defender for Identity 的專(zhuān)有傳感 器監視組織域控制器,提供每個(gè)設備中所有用戶(hù)活動(dòng)的全面視圖。此外,Microsoft Defender for Identity 為企業(yè) IT 人員提供有關(guān)身份配置和建議的最佳安全方案和見(jiàn)解。通過(guò)安全報告和用戶(hù)配置文件分析, Microsoft Defender for Identity 可以顯著(zhù)減少攻擊面,使入侵用戶(hù)憑據和推進(jìn)攻擊更加艱難。Microsoft Defender for Identity 的可視橫向移動(dòng)路徑有助于快速準確地了解攻擊者如何在公司內橫向移動(dòng)來(lái)入侵敏感帳戶(hù),并協(xié)助提前預防這些風(fēng)險。Microsoft Defender for Identity 安全報告有助于識別使用明文密碼進(jìn)行身份驗證的用戶(hù)和設備,提供其他見(jiàn)解以改善安全狀況和策略。
層層篩選,嚴防死守惡意郵件
Microsoft Defender for Office 365 是基于云的信息安全服務(wù),可幫助企業(yè)抵御垃圾郵件和惡意軟件。當傳入的郵件進(jìn)入 Exchange Online 時(shí),它最初通過(guò)連接篩選,檢查發(fā)件人信譽(yù)。大多數垃圾郵件在此時(shí) 即被攔截,并由 Microsoft Defender for Office 365 拒絕。然后,檢查郵件中是否存在惡意軟件的跡象。如果在郵件中找到惡意軟件或附件,郵件路由到“僅管理員”隔離存儲。郵件將繼續通過(guò)策略篩選,并根據自定義郵件流規則對其進(jìn)行評估。例如,公司可以將規則設置為當收到來(lái)自特定發(fā)件人的郵件時(shí)向管理器發(fā)送通知。接下來(lái),郵件通過(guò)內容篩選,此篩選器確定為垃圾郵件或網(wǎng)絡(luò )釣魚(yú)的郵件可以被發(fā)送到隔離區或用戶(hù)的“垃圾郵件”文件夾中。成功傳遞經(jīng)過(guò)所有這些保護層的任何郵件都將傳遞給收件人。這讓企業(yè)能夠成功防守住郵件安全這道防線(xiàn)。
終端保護以封堵和預防漏洞
我們發(fā)現企業(yè)安全團隊每天需要面對大量的安全警報信息,因此,Microsoft Defender for Endpoint 利用其對攻擊模式和進(jìn)展的深刻理解,將警報、遙測數據和受影響的資產(chǎn)關(guān)聯(lián)起來(lái),并將它們歸入一組較小的綜合事件。在這次評估中,這種關(guān)聯(lián)性導致了兩個(gè)事件,每個(gè)攻擊模擬一個(gè),將隊列減少到只有兩個(gè)工作項目需要調查。被優(yōu)化的綜合事件使 SOC 分析師能夠在一個(gè)綜合的視圖中查看整個(gè)攻擊范圍,包括所有警報、阻斷行動(dòng)和所有支持證據。
這種跨平臺、復雜的攻擊模擬極大地提高了檢測和保護的難度和有效性。我們很自豪地宣布,在本次評估中 Microsoft Defender for Endpoint 取得了極為優(yōu)異的成績(jì),并在每個(gè)主要攻擊階段都有效地檢測和阻止了惡意攻擊行為。在最終的成績(jì)報告中,Microsoft Defender for Endpoint 的成績(jì)超越了 Symantec、McAfee、FireEye、CrowdStrike 等一眾傳統大牌安全廠(chǎng)商,與 BitDefender 不相伯仲。
開(kāi)箱即用地提供真實(shí)的保護
在 MITRE Engenuity 最近的 Carbanak + FIN7 ATT&CK 評估中所使用的 Microsoft Defender 未經(jīng)過(guò)任何特殊優(yōu)化和調試配置,與用戶(hù)部署到生產(chǎn)環(huán)境中完全相同。通過(guò)警報的覆蓋范圍、準確性、可見(jiàn)性和調查經(jīng)驗級別在評估中的結果再次證明了我們可以使用行業(yè)領(lǐng)先的安全防御能力來(lái)阻止各種高級攻擊技術(shù)進(jìn)行的真實(shí)的攻擊。
“我們認為:在安全產(chǎn)品組合中必須內置由 AI 驅動(dòng)的智能系統,為提供用戶(hù)開(kāi)箱即用的保護。我們的產(chǎn)品應該盡可能減少復雜的配置或手動(dòng)定制設置,即可進(jìn)行檢測和保護。并且必須對報警提示進(jìn)行優(yōu)化,面對海量的報警提示往往是造成企業(yè)安全團隊無(wú)從下手的主要原因。”
隨著(zhù)攻擊面幾乎每天都在演變,攻擊者也持續創(chuàng )造更先進(jìn)的攻擊技術(shù),針對不同的領(lǐng)域,如端點(diǎn)、身份、電子郵件、文件和云應用程序。這要求安全解決方案有能力自動(dòng)分析這些領(lǐng)域的威脅數據,并建立一個(gè)完整的攻擊防護面。
通過(guò)微軟自身強大的安全大數據和安全情報分析能力,結合微軟全球第一流的安全解決方案,我們有信心持續守護企業(yè)的數字資產(chǎn)安全。
