【端點防護策略地圖】
▌威脅情勢
根據 Fortinet 2022 年 2 月全球威脅情勢報告,全球各業界的勒索事件在整個 2021 年持續成長,在 18 個月中,急劇增長了 15 倍。由於駭客活動非常活躍,並有新的代碼不斷出現,因此更難阻止網路攻擊。此外,近 47% 的工作者改為遠距辦公,這也使他們遠離傳統的企業網路防禦,例如防火牆 (用於消除初始階段的攻擊)。正因為如此,許多組織尋求 EDR 解決方案作為員工端點、雲端工作負載與伺服器的第一道與最後一道防線。
▌買方的風險
由於端點安全產品的悠久歷史與不斷成長的市場,許多供應商不斷尋求合適產品向客戶銷售,而購買者往往會尋求第三方分析報告來幫助他們專注於少數的候選產品。不幸的是,大多數分析報告都是建立在問卷與調查資料的基礎上,因此資訊來源各有異。事實上是,這些數據無法有效評估產品在面臨威脅時的實際效能,而這些付費的代理機構卻始終為供應商提供正向報告,以提供給他們的潛在客戶。
▌MITRE 對解決方案的看法
值得慶幸的是,MITRE 基金會是一個由美國聯邦政府贊助的非營利團體,目的在提供安全技術的網路安全防禦測試。其 ATT&CK 評估測試多個 EPP 解決方案,以針對多種可跟蹤行為的精選威脅進行測試。在這四輪評估的每一輪中,MITRE 選擇一兩個病毒進行測試,將它們分成兩個場景,然後測量它們對攻擊的保護,並檢測每個子技術 (sub technique)。病毒的挑選方式為評估它們在攻擊中的出現頻率,與戰術、技術與程序 (TTP) 的多樣性。 MITRE 指出,“對手必須使用這些已知技術,或是花費大量資源來開發新技術,無論其能力或戰略任務目標如何。 (參考資料:MITRE: TTP based hunting)
▌第四輪評估
在第四輪 MITRE ATT&CK 評估中選擇了兩個來自俄羅斯的勒索軟體病毒。(參考資料:Wizard Spider +沙蟲企業評估) 在使用的惡意軟體中,Wizard Spider 與 Sandworm 約佔分類 TTP 的三分之一。 MITRE 將每個病毒菌株置於一個包含八個 Windows 測試與一個附加的可選 Linux 測試的場景中。 Windows 測試由 90 個子技術代表,19 個子技術在 Linux 測試中。總共有 30 家供應商參加了第四輪比賽,其中 8 家供應商沒有參加測試,5 家供應商無法進行 Linux 測試,因為他們沒有涵蓋平台安全,或是他們的 Linux 威脅追蹤模組尚未能公開的測試中。
▌測試結果
2022 年 3 月 31 日,MITRE 基金會在其網站上發布了第四輪企業評估結果以供分析。(參考資料:Wizard Spider +沙蟲企業評估) 只有 10 家供應商成功阻止了所有攻擊測試,大部份的解決方案僅阻止了 79% 的攻擊。有趣的是,大部份的解決方案檢測到 87% 的所有攻擊子技術,只有九個解決方案檢測到 95% 以上 。該報告還顯示了這些攻擊是如何被阻止的,因為該報告的範圍包括 EPP 產品與廣泛的安全技術,例如基於行為分析模式 (behavior-based)、基於特徵碼比對 (signature-based) 等。
與比雷埃夫斯大學 (University of Piraeus) 的 EDR 測試及匯總圖表一樣,該結果無法在單一下載報告中獲得。(參考資料:“An Empirical Assessment of Endpoint Detection and Response Systems against Advanced Persistent Threats Attack Vectors”,網路安全與隱私雜誌,2022 年 1 月) 因此,需要花費更多精力來診斷與轉換資訊,以了解每個產品的進行情況以及與您的組織端點保護的安全策略相比對。由於報告本身的深度和迴避硬性排名和評分的影響,人們容易被供應商所提供的圖形和圖表所吸引,這些圖形和圖表組成了特別篩選過的數據,這也使得購買者受到錯誤訊息的影響。
▌總結
第四輪 MITRE ATT&CK 企業評估深入探討了 30 種不同的 EPP 解決方案如何應對兩種先進的國家級勒索病毒,建議透過細讀來學習如何評估研究。了解誰阻止了所有參與的攻擊測試,並查看在每個參與的測試中檢測到的子技術 (sub-technique) 的百分比,以及使用分析檢測到的子技術的百分比例。如果想要了解的更深入,您亦可以研究相關截圖,以了解供應商如何阻止每次攻擊 (例如:人工智慧、機器學習或病毒防禦)。此外,您可能還想確定哪些供應商有明顯的配置更改,導致了測試過程中引起測試人員注意到的明顯的延遲。
★ Fortinet 推出【端點防護策略地圖】,快跟著我們一起解鎖,
Fortinet 為您量身訂做一件防護衣
全球新冠疫情屢次捲土重來,隨時隨地辦公新模式優勢凸顯。後疫情時代,企業應佈局未來,積極部署專業高效防護裝備,安全行踐混合辦公模式,Fortinet 幫助您在數位化浪潮中轉“危”為“機”。