?2022年 4月，MITRE Engenuity 發(fā)布了最新一輪的 EDR 安全解決方案評(píng)估報(bào)告。

包括 Bitdefender 在內(nèi)的 30 款安全解決方案接受了 Wizard Spider (巫師蜘蛛)和 Sandworm Team （沙蟲）的APT挑戰(zhàn)測(cè)試。 

Wizard Spider 和 Sandworm Team 簡介

Wizard Spider 是一個(gè)出于經(jīng)濟(jì)動(dòng)機(jī)的網(wǎng)絡(luò)犯罪集團(tuán)，自 2018 年 8 月以來一直針對(duì)大型企業(yè)和醫(yī)療機(jī)構(gòu)等各種組織開展勒索攻擊活動(dòng)。

Sandworm Team是一個(gè)具有破壞性的俄羅斯 APT組織，已被美國司法部和英國國家網(wǎng)絡(luò)安全中心歸咎于俄羅斯GRU 74455 。Sandworm Team 最引人注目的攻擊包括 2015 年和 2016 年針對(duì)烏克蘭電力公司的攻擊以及 2017 年的 NotPetya 攻擊。Sandworm Team沙蟲團(tuán)隊(duì)從 2009 年開始就一直非常活躍。

2022年的 MITRE ATT&CK 第4輪評(píng)估側(cè)重于數(shù)據(jù)加密的影響技術(shù) ( T1486) 。攻擊者可能會(huì)加密目標(biāo)系統(tǒng)或網(wǎng)絡(luò)中大量系統(tǒng)上的數(shù)據(jù)，以中斷系統(tǒng)和網(wǎng)絡(luò)資源的可用性。

Wizard Spider 網(wǎng)絡(luò)犯罪集團(tuán)的代表勒索軟件包括：Ryuk ( S0446 ) 和 Conti ( S0575 ) ，臭名昭著。

以 NotPetya 惡意軟件 ( S0368 )聞名的 Sandworm Team沙蟲團(tuán)隊(duì)代表了一種更險(xiǎn)惡的數(shù)據(jù)擦除惡意軟件，旨在造成不可逆轉(zhuǎn)的破壞。

因此，這次的 Mitre ATT&CK 評(píng)估非常具有代表意義，非常及時(shí)—Conti 勒索軟件在最近一次泄漏后受到安全研究人員的詳細(xì)審查，而類似 NotPetya 這樣的數(shù)據(jù)擦除惡意軟件Hermetic Wiper，最近被部署到了烏克蘭-俄羅斯戰(zhàn)爭。

MITRE Engenuity ATT&CK? 2022 年度評(píng)估的技術(shù)范圍

今年的 MITRE ATT&CK? 評(píng)估場(chǎng)景包含 109 個(gè)攻擊子步驟，涵蓋了廣泛的 ATT&CK? 戰(zhàn)術(shù)和技術(shù)。

對(duì)于 Wizard Spider 和 Sandworm 評(píng)估，將突出顯示 ATT&CK 技術(shù)在本次評(píng)估的范圍內(nèi)。Linux 技術(shù)包含在本次評(píng)估的范圍內(nèi)，但僅代表評(píng)估的一小部分。評(píng)估的 Linux 部分對(duì)參與者來說是可選的。這也將標(biāo)志著影響策略首次進(jìn)入評(píng)估范圍。

??在 MITRE ATT&CK 導(dǎo)航器中查看??Wizard Spider 和 Sandworm 評(píng)估的范圍內(nèi)技術(shù)。專門歸屬于巫師蜘蛛的范圍內(nèi)的技術(shù)以紫色突出顯示，特別歸屬于沙蟲的藍(lán)色突出顯示，而巫師蜘蛛和沙蟲都以灰色突出顯示。

MITRE ATT&CK? 2022年度評(píng)估結(jié)果

- Bitdefender GravityZone 平臺(tái)為 109 個(gè)子步驟中的 106 個(gè) (97%) 提供了分析見解，并為 109 個(gè)子步驟中的 103 個(gè) (95%) 提供了技術(shù)級(jí)別的描述。

- Bitdefender 檢測(cè)到 106個(gè)的 Windows 上的主要攻擊步驟,

- Bitdefender 100% 檢測(cè)到了針對(duì) Linux 系統(tǒng)的所有攻擊技術(shù)。

?為什么 MITRE ATT&CK? 的評(píng)估具有獨(dú)特的價(jià)值？

在充斥著過度宣傳的安全市場(chǎng)中，通過獨(dú)立第三方測(cè)試，POC驗(yàn)證功能至關(guān)重要。AV-Comparatives 和 AV-TEST是評(píng)估EPP端點(diǎn)保護(hù)安全解決方案的行業(yè)權(quán)威組織，而MITRE Engenuity ATT&CK? 評(píng)估則只關(guān)注于EDR的能力評(píng)估，因此在安全供應(yīng)商和從業(yè)者中越來越受歡迎。

MITRE ATT&CK? 評(píng)估在許多方面都是獨(dú)一無二的。MITRE 不是測(cè)試解決方案阻止網(wǎng)絡(luò)威脅的能力，而是模擬APT攻擊的完整行為，他們要通過預(yù)防層。為此，已禁用測(cè)試安全解決方案的阻止行為或預(yù)防功能，以便評(píng)估可以專注于EDR的檢測(cè)、遙測(cè)和分析能力。MITRE ATT&CK? 知識(shí)庫框架用于為所有評(píng)估的供應(yīng)商提供通用詞匯表和對(duì)齊方式。

CISO 和安全團(tuán)隊(duì)如何解讀結(jié)果？

在評(píng)估此數(shù)據(jù)時(shí)，我們建議首先了解您的需求并確定在當(dāng)前威脅形勢(shì)下與您的組織最相關(guān)的技術(shù)。此練習(xí)可以幫助識(shí)別您當(dāng)前部署的安全控制和關(guān)鍵指標(biāo)中的差距，以監(jiān)控您的特定需求。為了有效實(shí)施 ATT&CK? 框架，我們還建議根據(jù)您的特定業(yè)務(wù)優(yōu)先級(jí)對(duì)其進(jìn)行調(diào)整。

EDR端點(diǎn)檢測(cè)和響應(yīng) 和 XDR擴(kuò)展檢測(cè)和響應(yīng) 解決方案的基本價(jià)值是最大限度地減少攻擊者的停留時(shí)間。MITRE ATT&CK? 評(píng)估在描述供應(yīng)商是否收集了正確的數(shù)據(jù)（遙測(cè)），并具有所需的分析能力以通過識(shí)別策略和技術(shù)為這些檢測(cè)提供上下文時(shí)最有價(jià)值。

Bitdefender XDR/EDR/虛擬化安全/容器安全/免費(fèi)試用：?

https://www.bitdefender-cn.com/business/free-trials.html

掃碼添加 Bitdefender 微信，獲取Bitdefender EDR文檔資料，EDR POC方案