國內(nèi)首家:賽可達(dá)實(shí)驗(yàn)室發(fā)布威脅檢測能力測評方案
責(zé)編:gltian |2020-05-27 17:27:51近日,國際知名第三方網(wǎng)絡(luò)安全服務(wù)機(jī)構(gòu)——賽可達(dá)實(shí)驗(yàn)室繼研究機(jī)構(gòu)MITRE之后,全球第二家且國內(nèi)首家發(fā)布基于ATT&CK的《網(wǎng)絡(luò)安全產(chǎn)品威脅檢測能力測評方案》,并率先提出了攻擊技術(shù)覆蓋面指數(shù)概念。
當(dāng)前,網(wǎng)絡(luò)攻擊方式和技術(shù)不斷變化,利用漏洞尤其是0Day、系統(tǒng)軟件、合法工具的攻擊,特別是APT攻擊的數(shù)量增多,攻擊進(jìn)化日易復(fù)雜。據(jù)研究,36%的攻擊是不基于攻擊樣本文件的。基于樣本文件(Hash values)、IP、節(jié)點(diǎn)(domain)、沙箱等的檢測已不能跟上進(jìn)攻方的步伐。越來越多的網(wǎng)絡(luò)安全產(chǎn)品加入攻擊行為分析、關(guān)聯(lián)數(shù)據(jù)分析、威脅情報(bào)等新技術(shù)以提高對攻擊的檢測能力,特別是對APT攻擊的檢測能力。
ATT&CK框架是由研究機(jī)構(gòu)MITRE主導(dǎo)的一個(gè)描述攻擊行為的公開知識庫。該框架基于已知攻擊分析,將攻擊行為分為戰(zhàn)術(shù)(tactics)和技術(shù)(techniques),用于精煉描述攻擊行為。網(wǎng)絡(luò)安全產(chǎn)品應(yīng)準(zhǔn)確識別和記錄基于各種技術(shù)的攻擊行為數(shù)據(jù),通過數(shù)據(jù)、威脅情報(bào)、溯源等技術(shù)分析,準(zhǔn)確識別出威脅攻擊。
賽可達(dá)實(shí)驗(yàn)室擁有多年網(wǎng)絡(luò)安全檢測技術(shù)和經(jīng)驗(yàn)的積累,根據(jù)ATT&CK知識框架,提出衡量安全產(chǎn)品威脅檢測能力的兩個(gè)重要指標(biāo):攻擊技術(shù)覆蓋面和深度檢測-攻擊鏈識別。
技術(shù)覆蓋面(Coverage of Techniques)就是安全產(chǎn)品所能覆蓋的攻擊技術(shù)數(shù)量。在測試中,使用測試工具、攻擊腳本和樣本模擬多種攻擊,產(chǎn)品日志應(yīng)記錄或報(bào)警,日志數(shù)據(jù)應(yīng)能夠清楚對應(yīng)所用每一項(xiàng)攻擊技術(shù)。基于一種攻擊技術(shù)的數(shù)據(jù)分析常常不能正確判斷出攻擊行為,可能會產(chǎn)生誤報(bào)。因此,產(chǎn)品應(yīng)具備攻擊鏈分析和識別的能力。深度檢測-攻擊鏈識別 (Deep Analysis – Technique Chain Detection)就是根據(jù)攻擊技術(shù)和技術(shù)鏈的關(guān)聯(lián)分析,正確識別出攻擊行為,并能夠及時(shí)報(bào)警和響應(yīng)。
賽可達(dá)實(shí)驗(yàn)室CEO宋繼忠指出,“威脅檢測能力應(yīng)是安全產(chǎn)品和網(wǎng)絡(luò)安全的核心。ATT&CK知識框架為增強(qiáng)安全產(chǎn)品攻擊檢測能力和衡量產(chǎn)品攻擊檢測能力提供了新的思路,受到了國內(nèi)外用戶和安全廠商的關(guān)注,落地應(yīng)用場景越來越多,將逐漸成為網(wǎng)絡(luò)安全產(chǎn)品威脅檢測能力的標(biāo)配。賽可達(dá)實(shí)驗(yàn)室愿與用戶、安全廠商、測評機(jī)構(gòu)、科研單位合作,共同努力,提升威脅防護(hù)水平,使網(wǎng)絡(luò)更安全。”
在賽可達(dá)實(shí)驗(yàn)室首批網(wǎng)絡(luò)安全產(chǎn)品威脅檢測能力測評中,奇安信天擎終端安全管理系統(tǒng)(EDR)(以下簡稱“天擎EDR”)率先通過了測試,并獲得了國內(nèi)首張“東方之星 威脅檢測能力”證書。本次測試共包含三個(gè)部分:ATT&CK技術(shù)覆蓋面測試、基于場景的攻擊鏈識別與深度檢測以及反病毒檢出與防護(hù)測試。測試結(jié)果顯示,天擎EDR的ATT&CK技術(shù)覆蓋數(shù)量達(dá)到120個(gè),可深度識別多種技術(shù)組合攻擊的完整攻擊鏈并產(chǎn)生告警,同時(shí)病毒查殺率達(dá)到了99.98%,表現(xiàn)優(yōu)異。
題-11.jpg)
賽可達(dá)實(shí)驗(yàn)室
賽可達(dá)實(shí)驗(yàn)室(SKD Labs)是國際知名第三方網(wǎng)絡(luò)安全服務(wù)提供商,也是中國合格評定國家認(rèn)可委員會CNAS認(rèn)可實(shí)驗(yàn)室以及國際ISO/IEC 17025認(rèn)證實(shí)驗(yàn)室。秉承“公正、中立、科學(xué)、嚴(yán)謹(jǐn)”的服務(wù)理念,擁有世界領(lǐng)先的網(wǎng)絡(luò)安全檢測技術(shù)、數(shù)年豐富的國際測評經(jīng)驗(yàn)和專業(yè)的測試團(tuán)隊(duì),致力為政企用戶和安全企業(yè)提供權(quán)威的第三方網(wǎng)絡(luò)安全服務(wù)。服務(wù)范圍包含軟硬件產(chǎn)品安全測評認(rèn)證、網(wǎng)絡(luò)安全有效性檢測評估、產(chǎn)品入圍選型測試、APP安全合規(guī)檢測認(rèn)證、通用軟件測評、代碼安全審計(jì)等。
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!
- 美國網(wǎng)絡(luò)司令部繼續(xù)投資開發(fā)網(wǎng)攻發(fā)起平臺JCAP
- 關(guān)稅大棒下的地緣政治博弈:APT組織瞄準(zhǔn)中非命運(yùn)共同體
- 權(quán)威認(rèn)證!Fortinet再奪Gartner SASE平臺魔力象限領(lǐng)導(dǎo)者
- 供應(yīng)商失職致嚴(yán)重網(wǎng)絡(luò)攻擊,客戶起訴索賠27億元
- 《移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序(APP)風(fēng)險(xiǎn)分類分級指南2025年》筑起網(wǎng)絡(luò)安全防線