2023 MITRE ATT&CK 评估分析
关键要点
- 全面评估 :2023 MITRE ATT&CK 评估披露了 Cynet 在对抗 Turla 组织的表现,突显了其在威胁检测方面的卓越能力。
- 无配置变化 :Cynet 在没有进行任何配置变化的情况下,100% 检测到所有攻击步骤。
- 分析覆盖 :Cynet 对所有子步骤的分析覆盖率达到 100%,显示出它在提供相关上下文信息上的优秀表现。
- 深入解读 :文章提供了对MITRE评估结果的解读,并总结了Cynet的主要优势和表现。
全面、独立的测试是分析提供商抵御日益复杂威胁能力的重要资源,而 MITRE Engenuity ATT&CK评估是业内最广泛被信任的年度评估之一。此类测试对于评估网络安全供应商至关重要,因为仅仅依靠供应商的性能声明几乎是不可能的。除了供应商参考检查和价值证明(POV)评估——即现场试验——MITRE的评估结果为全面评估网络安全供应商提供了额外的客观依据。
接下来,我们将深入探讨 2023 MITRE ATT&CK 评估结果。在本博文中,我们将介绍 MITRE的测试方法,如何将安全供应商与现实世界的威胁进行对比,提供我们对结果的解读,并识别出 Cynet 评估中的关键收获。
MITRE Engenuity 如何评估供应商?
MITRE ATT&CK 评估由 MITRE Engenuity执行,针对终端保护解决方案进行模拟攻击序列测试。这些测试基于知名的高级持续威胁(APT)组织的现实攻击方法。2023 年的评估共测试了 31家供应商的解决方案,模拟了 Turla 这一复杂的俄罗斯威胁组织的攻击序列,该组织已知在超过 45 个国家感染受害者。
需要注意的是,MITRE不对供应商的结果进行排名或评分。相反,原始测试数据将与一些基本的在线比较工具一并发布。买家可以使用这些数据根据自身组织的独特优先事项和需求来评估供应商。参与供应商对结果的解读仅仅是他们自己的理解。
如何解读评估结果?
这是个好问题——现在很多人都在问自己这个问题。MITRE ATT&CK 评估结果并未以我们习惯的格式呈现出来(你瞧,乍一看可能会觉得这个图表有些奇妙)。
独立研究者经常会宣布“赢家”,以减轻弄清楚哪些供应商表现较好的认知负荷。在这种情况下,确定“最佳”供应商是主观的,如果你不知道该寻找什么,当你在评估哪个安全供应商适合你的组织时,可能会感到困惑。
在说明了这些免责声明后,接下来让我们回顾一下结果,比较参与供应商在对抗 Turla 时的表现。
MITRE ATT&CK 结果摘要
以下表格呈现了 Cynet 对所有供应商 MITRE ATT&CK测试结果的分析与计算,重点关注几个重要的指标:整体可见度、检测准确性和整体性能。还有其他多种方式来查看 MITRE结果,但我们认为这些指标最能体现解决方案对威胁的检测能力。
指标 | Cynet 表现
—|—
整体可见度 | 100%(143/143)
检测准确性 | 100%(19/19)
分析覆盖率 | 100%(143/143)
实时检测 | 100%(0 延迟)
整体可见度是指在 143 个子步骤中检测到的攻击步骤总数。Cynet定义的检测质量是包含“分析检测”的攻击子步骤百分比——这些检测能识别活动的策略(为何发生该活动)或技术(为何以及如何发生该技术)。
另一个重要的因素是观察每个解决方案在供应商因遗漏威胁而调整配置设置之前的表现。MITRE允许供应商重新配置其系统以尝试检测遗漏的威胁或改进检测信息。在现实环境中,我们无法因为未能检测到威胁或检测效果不
