“
近日,MITRE Engenuity 公布了其最新一轮 ATT&CK 评估结果。ATT&CK 评估团队对 29 款不同端点安全产品功能进行了评估,重点测试这些产品检测各种常见网络攻击策略和手段(比如 Carbanak 和 FIN7 攻击活动中所用的手段)的能力。评估工作并非易事;它涵盖了攻击生命周期中 20 多个不同步骤,其中包括总计 170 多个子步骤。除了上述测试活动外,MITRE Engenuity ATT&CK 评估结果还提供了对每款安全产品工作原理的重要洞察。我们认为,能够检测出评估所用攻击手段和策略的产品同样适用于检测其他攻击活动,包括尚未出现的攻击活动。
”
2020 年,MITRE 推出了一项新的防护评估,并对部分产品进行了测试,以确定其能否阻止主要攻击手段和策略,而非仅仅进行识别和记录。恶意活动检测能力固然重要,但鉴于当今网络威胁的复杂态势,并认识到无法在更长时间内维持全面防御,因此拦截功能通常是不二之选。
您可能会问:“阻止恶意活动不是更好吗?”但事实并非总是如此。拦截 — 尤其是基于行为的拦截不一定更好,因为网络活动中的许多恶意行为在合法操作中也屡见不鲜。尽管行为拦截在 MITER Engenuity ATT&CK 评估等测试中看起来不错,但却不适合部署在生产环境中的安全产品。在某些情况下,检测会产生更多的数据并带出更多的调查工作,投入与获得不成正比。MITRE Engenuity 对我们 FortiEDR 产品的测试结果便证明了这一点。
防护评估结果
下面举例说明一下,测试 13 模拟了 FIN7 攻击活动操作,后者旨在扩大组织内访问权限。
首先,它通过 PowerShell 下载了两个文件。尽管 FortiEDR 将其识别为可疑活动,但仍允许它正常运行,因为在某些情况下(例如 IT 脚本),PowerShell 可合法地用于下载文件。接下来,PowerShell 尝试登录合法用户的有效帐户,以访问管理员共享驱动器。因此,尽管 FortiEDR 检测并记录了该操作,但鉴于其合理有效且没有发生任何确切恶意事件,因此仍未对它下最终定论。随着 FortiEDR 继续监控和收集证据,该攻击活动仍可运行。但是,一旦下载的文件企图通过 HTTP 恶意窃取数据,FortiEDR 就会立即执行拦截操作。拦截功能可防患于未然,有效避免损害的发生,然后实施自动响应,消除恶意活动。
为了在不影响系统或用户的情况下保护数据并自动实时拦截攻击,FortiEDR 应运而生。FortiEDR 具有 Fortinet 获得专利的代码跟踪功能,可分析深层系统活动并准确识别可疑操作。除了勒索软件加密等文件篡改以外,它还能够阻止特定恶意活动,例如命令和控制、数据泄露。
MITRE Engenuity:检测评估结果
检测评估展示了类似的设计原则。该评估涵盖 20 个阶段,177 个独立步骤。我们非常高兴看到约 70% 的适用步骤和子步骤能够被快速检测,而大部分未能检测到的步骤归因于设计本身。除了不属于我们部署范围的一系列 Linux 相关子步骤外,缺乏检测的最常见原因是人们至今仍有意选择不标记发现活动。
进程、系统信息、系统网络、文件和目录及其他发现均为复杂网络攻击要素,但却是日常业务中更常见的活动。资产管理和发现系统、进程性能监控程序、IT 操作脚本和其他任务往往都采用发现技术。为了避免令普通 FortiEDR 用户无所适从,我们在设计上选择不捕获此类信息。也就是说,FortiEDR 可以根据客户要求调整活动记录量。
FortiEDR 对标准应用层和标准密码协议检测的报告方式也有所不同。FortiEDR 将其报告为可疑的通信活动,而非描述为可疑的端口活动。尽管我们的识别在评估过程中没有算作检测,但很高兴看到第三方期望中存在的差异。
无论哪种情况,没有对错之分。这些测试展示了 Fortinet 运行方式,充分显示了企业用户可从 MITER 评估中获取的信息类型。
MITRE Engenuity 结论
这是 FortiEDR 首次接受 MITER Engenuity ATT&CK 评估,我们对该评估结果及其传递给更广泛网络安全社区的信息感到非常高兴,并欣赏 MITER Engenuity 团队所展现的出色专业水准。评估结果表明,FortiEDR 能够:
在过去、现在和未来 100% 拦截防护测试中检测的 Carabank、FIN 7 及其他类似攻击活动所用手段。
精确跟踪和评估精细系统活动,全面检测评估范围内的技术和策略,并在最佳时间一举拦截攻击活动。
清晰运用审慎设计原则,尤其是在有效性和准确性、宝贵信息与海量信息之间取得平衡。
IT解决方案:
下一代防火墙部署场景:化繁为简、加密云接入、可视化与自动化、默认FortiEDR和FortiXDR保护会自动检测并拦截本文中描述的攻击,且无需进行其他更新
以更低的复杂性提供业内首屈一指的威胁防护和性能、网络与安全的融合、集成安全架构、多重检查引擎、统一控制管理、高级威胁防御、内置反病毒引擎、终端测的安全防护、全自动威胁检测、全自动威胁调查、全自动威胁响应
飞塔防火墙服务:应用控制、Web过滤、反病毒、FortiCloud 沙箱、入侵防御、病毒爆发防护服务、内容消除与重建、IP 信誉和反僵尸网络
品类:零信任网络访问(ZTNA)、下一代防火墙、FortiClient终端安全、FortiManager集中管理平台 、 FortiAuthenticator身份管理平台、HPC基础架构、雾计算基础架构、网络安全生态系统、集成式安全方法、入侵防御系统、网络访问控制、智能边缘、自动化安全架构、恶意设备检测、端点检测、高级威胁检测、事件分析溯源
方案适用机型:
机框设备:FortiGate 7060E 、FortiGate 7040E 、FortiGate 7030E 、FortiGate 5001E
超高端设备:FortiGate 6300F\6301F\6500F\6501F
高端设备:FortiGate 3980E、FortiGate 3960E 、FortiGate 3800D 、FortiGate 3700DFortiGate 3600E 、FortiGate 3400E、FortiGate 3200D、FortiGate 3100D 、FortiGate 3000D 、FortiGate 2500E、FortiGate 2000E、FortiGate 1500D 、FortiGate 1200D 、FortiGate 1000D
中端设备:FortiGate 900D 、FortiGate 800D 、FortiGate 600E、FortiGate 500E 、FortiGate 400E 、FortiGate 300E、FortiGate 200E 、FortiGate 100E
入门级设备:FortiGate 80E、FortiGate 60E、FortiGate 50E、FortiGate 30E 、FortiGate 60D – Rugged
Virtual Machines:FortiGate-VM00 、FortiGate-VM01, -VM01V 、FortiGate-VM02, -VM02V、FortiGate-VM04, -VM04V 、FortiGate-VM08, -VM08V 、FortiGate-VM16, -VM16V 、FortiGate-VM32, -VM32V 、FortiGate-VMUL, -VMULV
专有型号/系列:FortiOS 7.0、Fortinet SASE、FortiXDR
服务区域:
四川 飞塔 Fortinet:成都 飞塔 Fortinet、绵阳 飞塔 Fortinet、自贡 飞塔 Fortinet、攀枝花 飞塔 Fortinet、泸州 飞塔 Fortinet、德阳 飞塔 Fortinet、
广元 飞塔 Fortinet、遂宁 飞塔 Fortinet、内江飞塔 Fortinet、乐山 飞塔 Fortinet、资阳 飞塔 Fortinet、宜宾 飞塔 Fortinet、南充 飞塔 Fortinet、
达州 飞塔 Fortinet、雅安 飞塔 Fortinet、阿坝藏族羌族自治州飞塔 Fortinet、凉山彝族自治州 飞塔 Fortinet、广安 飞塔 Fortinet、巴中 飞塔 Fortinet、眉山 飞塔 Fortinet
重庆 飞塔 Fortinet
贵州飞塔 Fortinet:贵阳飞塔 Fortinet、遵义飞塔 Fortinet、铜仁飞塔 Fortinet、安顺飞塔 Fortinet、毕节飞塔 Fortinet 、六盘水飞塔 Fortinet、黔南州飞塔 Fortinet、黔西南州飞塔 Fortinet 、黔东南州飞塔 Fortinet
云南飞塔 Fortinet:昆明飞塔 Fortinet 、曲靖飞塔 Fortinet 、玉溪飞塔 Fortinet 、昭通飞塔 Fortinet 、临沧飞塔 Fortinet 、保山飞塔 Fortinet 、
丽江飞塔 Fortinet 、普洱飞塔 Fortinet、红河哈尼飞塔 Fortinet、德宏飞塔 Fortinet、楚雄飞塔 Fortinet 、文山飞塔 Fortinet 、
西双版纳飞塔 Fortinet 、怒江飞塔 Fortinet
西藏自治区飞塔 Fortinet:拉萨飞塔 Fortinet、昌都飞塔 Fortinet、林芝飞塔 Fortinet、山南飞塔 Fortinet、日喀则飞塔 Fortinet、那曲飞塔 Fortinet、阿里飞塔 Fortinet
飞塔自身关键词:
飞塔防火墙,飞塔官网,飞塔公司,fortigate防火墙,飞塔防火墙配置
飞塔相关关键词:
网络安全,安全SD-WAN,Fortinet FortiGate-VM,Fortinet,VPN保护,Web过滤,
网络分段,网络微分段,物联网平台保护
成都科汇科技有限公司 (IT解决方案商)
无论您的IT架构是 本地化、云端、还是混和云 都能提供一站式安全方案。
地址:四川省成都市人民南路四段一号时代数码大厦18F
电话咨询热线:400-028-1235
QQ:132 5383 361
手机:180 8195 0517(微信同号 )
本文章为转发的公开信息,如有相关侵权,敬请联系上述联系方式即可删除。