标签:CK case 检测 ATT MITRE Falcon CrowdStrike 评估
CrowdStrike 在 MITRE ATT&CK 评估的所有 20 个步骤中实现了 100% 的检测覆盖率
2021 年 4 月 21 日
迈克尔·森托纳斯
MITRE Engenuity ATT&CK® 评估计划的第三轮已经发布,再次强调 CrowdStrike 客户在面对现实世界中的对手时受到保护。CrowdStrike Falcon® 平台在评估的 20 个步骤中的每一步都提供可操作的警报,智能识别关键攻击活动,同时消除警报疲劳。
本次评估迭代利用了 Carbanak 和 FIN7(CARBON SPIDER)的两个复杂的对手模拟,并执行了一系列跨越整个 ATT&CK 矩阵的攻击,涵盖 Linux 和 Windows 操作系统上的 20 个独立测试步骤和 174 个测试子步骤。MITRE 的评估为我们提供了一个独特的机会来展示 CrowdStrike 如何开创性地解决我们行业最大的挑战:对敏捷性、全面可见性和速度的需求。CrowdStrike 的 MITRE ATT&CK 评估结果显示了 CrowdStrike Falcon 平台如何使用预防、检测和上下文遥测的独特组合来防止漏洞,为防御者提供全方位保护,同时减轻过载的安全团队的负担。
CrowdStrike 在今年的评估中取得的成就包括:
- CrowdStrike Falcon 通过在 20 个评估步骤和所有 MITRE ATT&CK 策略中的每一个步骤中提供可操作的警报,在入侵阶段实现了 100% 的检测覆盖率。
- Falcon 平台在跨 MITRE ATT&CK 框架的多个步骤中阻止了对两个威胁参与者的模拟入侵。
- CrowdScore 检测引擎分析了妥协和遥测的相关指标,将微弱信号汇集在一起,以检测高度复杂和隐蔽的敌手贸易。
- Falcon Incident Workbench 使用丰富的上下文(例如 ATT&CK 策略和技术、威胁行为者情报、设备和用户)对检测到的攻击进行优先级排序和可视化。结果显示为可操作的安全事件,并通过深度上下文遥测进行了丰富——将离散安全警报减少了 90%,并以其他供应商无法比拟的方式显着加快响应时间。
- Falcon 通过设计提供全面的检测,可以从多个有利位置查看攻击行为,实际上消除了对手不被发现的能力。
综合起来,这些结果展示了 Falcon 平台能够为对手活动提供领先的开箱即用检测和预防,显着减少 SOC 的手动工作,从而降低总拥有成本。
MITRE Engenuity 的评估方法不是挑选赢家,它旨在强调“产品用户如何在完美的情况下解决特定的 ATT&CK 技术实施,同时了解对手的行为并且没有环境噪音。” 尽管采用 MITRE 的方法,但供应商可能会使用各种标准(例如大多数检测或最大可见性,使用孤立的测试数据作为其证明点)声称“获胜”。在现实世界中,知识非常不完善,环境噪声、虚假警报和误报不断消耗有限的 SOC 和 IT 资源。在这方面取得成功具有挑战性的环境仅通过阻止现实世界违规的能力来衡量。我们考虑到这一点进行了这次评估,我很自豪地说,CrowdStrike Falcon 平台再次成功地做到了这一点。
智能优先级和消除警报疲劳
您更愿意使用哪种产品?一种是通过触手可及的工作流程呈现所有关键数据以阻止违规行为,还是一种让您筛选搜索界面、原始事件和虚假警报以抓住攻击者?过去的解决方案(例如 SIEM)表明,对于每天都会发生数百次攻击的组织而言,大量警报并不能推动可持续的安全性。我们更愿意阻止违规行为。
在现实世界中工作意味着快速发现威胁,能够在几分钟内识别和理解它,并能够在对手闯入您的网络并实现其目标之前遏制攻击。这意味着 SOC 分析师没有宝贵的时间来搜索数据以查看技术并确定行为是恶意的。这就是 Falcon 的 CrowdScore™ 检测引擎如此具有革命性的原因。
CrowdScore 的目标很简单:使用机器智能在未报警的数据中找到信号,让 Falcon 平台检测隐藏在雷达下的攻击者,这样您就不必这样做了。它不是孤立地检测单个进程或不良行为,也不是进行简单的基于时间的关联;
它依靠拥有数 PB 的相关行为遥测、客户开发的警报以及潜在恶意活动的强弱指标来准确识别这些数据是真正攻击的可能性。专有的 CrowdStrike Threat Graph® 非常适合应对这一挑战,使 CrowdScore 能够实时检测未知攻击并将其提升到 SOC,否则这些攻击可能会被忽视。
这些 CrowdScore 检测表明 ATT&CK 评估以及现实世界中的警报减少了 90%。
图 1. 估值期间的事件优先供分析师审查(点击放大)
CrowdStrike 不断突破界限,以新的和创新的方式检测攻击者,这些方式并不总是与测试人员的评分方法保持一致。CrowdScore 是创新检测技术的一个很好的例子,它改变了防守者的比赛。如果 Falcon 配置为预防,攻击就会被迅速阻止。CrowdScore 仅针对检测进行配置(根据测试方法),它很快发现攻击者在依赖用户执行的鱼叉式网络钓鱼攻击中使用 Microsoft Word 成功破坏了系统,并开始实时构建事件。
图 2a。CrowdScore 检测突出显示正在进行的攻击的开始(点击放大)
图 2b。CrowdScore 检测突出显示正在进行的攻击的开始(点击放大)
使用 CrowdScore,防御者无需浪费时间浏览未确定优先级的数据,以获取他们了解威胁组成部分所需的信息。CrowdScore Incident Workbench 收集关键信息并将其呈现给 SOC 分析师,使他们能够快速识别、理解和遏制攻击。CrowdScore 这样做,所以你不必。
综合设计检测
全面检测从非常强大的数据源和可见性开始,以查看许多有利位置。在端点解决方案方面,数据并不是平等创建的,对手总是试图逃避防御者和他们带来的安全工具。CrowdStrike 明白这一点,这也是我们利用多个复杂数据源并在传感器和云中广泛强化它们的原因。这使得攻击者更难通过简单地重命名文件、更改命令行、执行简单的 AMSI 绕过、将行为注入合法进程或恢复挂钩函数来逃避检测。
在 ATT&CK 评估中,Falcon 平台表现出领先,大多数步骤具有两个以上的数据源,使 Falcon 的检测更加稳健。
图 3. 使用两个以上不同数据源的检测步骤数
全面还意味着涵盖多个平台,CrowdStrike Falcon 对您使用的所有平台都有效。今年,MITRE 将 Linux 作为测试环境的一个可选组件,让参与者有机会展示跨平台功能。MITRE 的评估结果表明,Falcon 检测并阻止了来自 Linux 和 Windows 机器的横向移动技术,这些技术涉及到其他网络机器和服务的远程 SSH 连接(T1021.004)和 SMB 协议滥用(T1021.002),有效地阻止了不良行为者评估其他目标. MITRE 的目标评估是攻击链中的关键步骤,尤其是在 Windows 和 Linux 主机上的对手模拟中。
图 4. CrowdScore 自动检测并呈现横向移动的跨平台事件(点击放大)
拥有开箱即用的功能,无需人工干预,在攻击链的这一步骤中 100% 阻止这些尝试有助于确保所有基础设施环境中的强大安全态势。
X 因素:Falcon X 为团队提供自动化智能
对手攻击策略、技术和工具越来越复杂,需要更高的可见性和对高级恶意软件的更详细分析。击败规避的恶意软件并扩展整个安全基础设施的有效性,可以帮助安全团队通过更多的可见性更好更快地做出决策来增强安全团队的能力,并帮助他们深入了解威胁的技术细节以了解如何有效地寻找复杂的对手未来。
在评估期间,CrowdStrike Falcon X™ 及其强大的自动化沙箱分析提供了对整个攻击过程中对手活动的全面可见性和情报。Falcon X 提供了涵盖 15 个独立测试步骤的见解,确定了许多技术,包括通过 PowerShell 脚本进行的权限提升和对手每天都希望利用的横向移动。
这种分析的结果不仅是可见性和检测,而且是关于对手交易的深度情报和指标。这为防御者提供了改善防御所需的关键情报,不仅可以检测而且可以阻止明天的顽固对手。
图 5. CrowdStrike Falcon Sandbox™ 提供自动化情报,对于了解当前威胁和防止下一个威胁至关重要
平台的力量
虽然此测试侧重于端点检测和响应,但聪明的对手总是会尝试跨越多个攻击域,以找到防御中的最薄弱点以实现其结果。云原生 CrowdStrike Falcon 平台是从第一天开始构建的,旨在为防御者提供跨端点及其他地方的全面可见性。Falcon 将 Falcon Prevent™ 下一代防病毒和 Falcon Insight™ 端点检测和响应的端点保护与身份保护 (Falcon Identity Protection) 和云工作负载 (Falcon Cloud Workload Protection) 相结合,为安全分析师提供保护他们所需的能力组织对抗顽固的对手。
故事并没有就此结束。一旦攻击者被阻止,防御者必须检查他们的安全态势和攻击面以降低类似攻击的风险,这一点至关重要。Falcon 平台在这方面具有出色的能力,无论是识别需要安全培训的用户,使用Falcon Spotlight™突出漏洞或在使用Falcon Discover™进行攻击时可能被利用的软件,还是使用我们领先的情报数据来了解攻击者如何可以再试一次。
不懈地专注于阻止违规行为
CrowdStrike 致力于与众多领先的独立测试组织一起测试 Falcon 平台,以提供必要的透明度,说明我们的能力在接近真实世界的测试场景中的表现,并让我们的客户相信我们将继续提供最佳保护可用的。该测试的结果突出了 CrowdStrike Falcon 始终如一的一流威胁检测能力,这些能力在多项SE Lab Breach Response 测试和AV-Comparatives Endpoint Protection and Response测试中不断得到证明,我们也被评为战略领导者.
对手不会停滞不前,CrowdStrike 也不会。CrowdStrike 的复杂检测技术不断发展,因为我们通过提供新功能进行创新,以识别和阻止新的和新兴的手工艺。自 2020 年夏季参加 MITRE ATT&CK 评估以来,我们添加了广泛的功能和检测增强功能,以防范已知和未知威胁。通过参与 MITRE 威胁情报防御中心,我们将继续致力于促进社区对如何构建安全计划的整体理解,包括如何实施 ATT&CK。
通过这一切,猎鹰久经考验的敏捷性、全面的可见性和速度仍然是我们共同对抗复杂对手的关键武器。我们很自豪再次展示我们在保护组织免受现实世界违规行为方面无可争议的领导地位。
其他资源
- 在CrowdStrike 2021 全球威胁报告中了解对手 TTP 的最新趋势。
- 访问产品网页,了解功能强大的云原生CrowdStrike Falcon® 平台。
- 要了解如何将有关威胁参与者的情报纳入您的安全策略,请访问Falcon X™ 威胁情报页面。
- 获得 CrowdStrike Falcon Prevent™ 的全功能免费试用版,并了解真正的下一代 AV 如何抵御当今最复杂的威胁。
标签:CK,case,检测,ATT,MITRE,Falcon,CrowdStrike,评估 来源: https://www.cnblogs.com/bonelee/p/15774565.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。