最后更新于2023年4月25日星期二19:36:56 GMT

Rapid7很高兴能分享我们参与的成果 MITRE Engenuity最新的ATT&CK Evaluation,研究对手如何滥用数据加密来利用组织.

With this evaluation, 我们的客户和更广泛的安全社区可以更深入地了解如何 InsightIDR 帮助保护他们的组织免受破坏和勒索软件技术, 就像巫师蜘蛛和沙虫APT小组使用的那样 MITRE ATT&CK analysis.

What was tested

insighttidr XDR方法的核心是包含端点代理:Insight agent. Rapid7的通用Insight Agent是一款轻量级端点软件,可以安装在任何资产上(云中或本地),以便在任何环境中收集数据. Insight Agent使我们的EDR功能成为本ATT的重点&CK Evaluation.

穿越精灵蜘蛛和沙虫的攻击, 我们看到了强有力的结果,表明您可以信任高保真端点检测,以便尽早识别真正的威胁.

建立透明度和与MITRE独创ATT对话的基础&CK evaluations

Since the launch of MITRE ATT&CK in May 2015, 全球的安全专家都利用这个框架作为网络攻击策略的“首选”目录和参考, techniques, and procedures (TTPs). With this guide in hand, 安全团队可视化检测覆盖范围和漏洞, 制定安全计划和对手模拟以加强防御, 并根据攻击链中的位置快速了解威胁的严重性. 也许最重要的是,ATT&CK提供了一种讨论违规行为的通用语言, 分享已知的对手群体行为, 促进安全部门之间的对话和情报共享.

MITRE Engenuity’s ATT&CK评估演习为用户提供了一种工具,“通过透明的评估过程和公开可用的结果,更好地理解和防御已知的对手行为,从而为所有人带来一个更安全的世界。.” The 2022 MITRE ATT&CK评估侧重于组织如何利用“数据加密影响”(加密目标数据以防止公司能够访问它)来破坏和利用他们的目标. 多年来,这些技术被用于许多臭名昭著的攻击, 特别是2015年和2016年对乌克兰电力公司的攻击,以及2017年的攻击 NotPetya attacks.

如何使用MITRE独创性评估

MITRE评估中最引人注目的部分之一是仿真中提供的透明性和丰富的细节, 每次进攻的步骤, vendor configurations, 以及对所发生事情的详细解读. 但请记住:这些供应商评估并不一定反映在您自己的环境中类似的攻击会如何发生. 产品配置有细微差别, 事件的顺序, 缺乏其他技术或产品功能,这些可能存在于您的组织中,但在本场景中没有.

It's best to use ATT&通过CK评估来了解供应商的产品, as configured, 在特定条件下进行的模拟攻击. 您可以分析供应商的产品的行为以及它在攻击的每个步骤中检测到的内容. 这是一个很好的开始,可以深入研究您自己的模拟,或者与当前或潜在的供应商进一步讨论. 考虑您正在努力实现的程序目标和度量标准. 更多的遥测技术是当务之急吗? 您的团队是否正在朝着平均响应时间(MTTR)基准前进? 这些问题和其他问题将有助于以对您的团队最相关和最有意义的方式为这些评估结果提供更相关的视图.

insighttidr提供优越的信噪比

自insighttidr进化以来, 我们让客户输入我们的“北极星”来指引我们产品的方向. 随着技术和威胁形势的不断发展, 我们的客户为我们设定的方向和使命一直保持不变:在一个充满无限噪音和威胁的世界, 我们必须使及早发现并消灭邪恶成为可能, faster, and easier.

说起来简单,做起来难.

而传统的方法给了客户更多的按钮和杠杆来自己解决问题, Rapid7的方法是从一个不同的角度. 我们如何在不给已经超负荷工作的SOC团队增加更多工作的情况下提供复杂的检测和响应? 最初是提供用户和实体行为分析(UEBA)的旅程(这在当时是一个新类别),后来发展成为领先的云SIEM, and it’s now 开启了XDR检测和应对的下一个时代.

http://www.techvalidate.com/product-research/insightIDR/facts/CAA-CCB-F73

MITRE创造力ATT的关键要点&CK Evaluation

  • 在ATT有很强的知名度&CK, with telemetry, tactic, 或者两个模拟中19个阶段中的18个阶段的技术覆盖
  • 一直在网络杀戮链的早期显示威胁, 在沙虫评估的初始妥协和向导蜘蛛评估的初始妥协和初始发现中都有可靠的检测覆盖率
  • 展示了我们致力于在我们的检测库中提供强大的信噪比,在攻击的每个阶段都有针对性和重点检测(而不是在每个小的子步骤上发出警报)。

正如我们的客户所知,这些端点功能只是insightdr的冰山一角. 但不在本次评估的范围内, 我们还触发了几个没有映射到mitre定义的子类型的有针对性的警报——提供了框架之外的额外覆盖. 我们知道,我们的其他原生遥测功能的用户行为分析, network traffic analysis, and cloud detections, insighttidr在真实场景中提供相关信号和有价值的环境,更不用说额外的保护了, intelligence, 以及更广泛的Insight平台在这种用例中提供的加速响应.

http://www.techvalidate.com/product-research/insightIDR/facts/7D5-BD6-54D

Thank you!

我们要感谢MITRE Engenuity让我们有机会参与此次评估. 虽然我们对我们的成果感到非常自豪, 在整个过程中,我们也学到了很多东西,并正在积极地将这些知识付诸实践,以改进我们为客户提供的端点功能. 我们也要感谢我们的客户和合作伙伴的持续反馈. 您的见解将继续激励我们的团队并提升Rapid7的产品, 使所有人都能获得更成功的检测和反应.

了解更多关于Rapid7如何帮助组织实现更强的信噪比,同时在整个攻击链中仍然具有深度防御的信息, join our webcast 我们将在哪里分解这个评估.

Additional reading:

NEVER MISS A BLOG

获取有关安全的最新故事、专业知识和新闻.