安全419从第三方网络安全检测服务机构——赛可达实验室方面了解到,其近期正式发布了ATT&CK能力仿真测试系统及测评方案2.0版。
据官方表述,相比此前版本,本次发布的2.0版本能够更有效地评估安全产品及网络安全防护体系的ATT&CK能力及威胁检测能力,其主要特点如下:
• 基于ATT&CK V10,覆盖全部14个攻击战术以及270多个攻击技术和子技术;
• 测试范围不仅包含EDR和主机安全产品,也包括态势感知SOC、XDR、NDR、云安全、防火墙等网关和流量威胁检测产品;
• 攻击测试用例库同步全球威胁情报资源,并新增加了多种APT仿真攻击,包括APT3、APT13、APT28、APT37、APT38、FIN6、FIN7、Sidewinder、Muddy Water、MenuPass、Lzarus、Darkhole等,同时还扩充优化了Webshell攻击、勒索攻击等;
• 同时支持Window和Linux平台;
• 更新升级了测试工具集。
可以说,赛可达实验室本次发布的ATT&CK能力仿真测试系统及测评方案2.0版填补了我国在ATT&CK能力测评技术上的空白。
同时我们还了解到,其东方之星ATT&CK能力认可标志(中英文版)也已正式首发。(下图)
在网络安全领域,网络攻击方式和技术不断变化,利用漏洞尤其是0Day、系统软件、合法工具的攻击,特别是APT攻击日益增多,攻击进化日易复杂,基于样本文件(Hash values)、IP、节点(domain)、沙箱等的检测已不能跟上进攻方的步伐。因此,网络安全防守方始终被以下问题所困扰:
1. 我们的防御体系是否有效?还存在哪些不足?
2. 我们的安全产品能检测到攻击,特别是APT攻击,但是否发挥了应有的作用?
3. 如何确定网络安全防御建设优先级?
实际上,自 MITRE ATT&CK于2015年出现以来,其已经广泛得到业内的关注,并为网络安全从业者解决上述问题带来了新的思路。
ATT&CK威胁框架最大的特点是基于实战,以攻击者视角,从真实的网络威胁中提炼并归纳出各种技术、战术特点,从而指导技术研究、产品研发及网络安全防御体系建设。特别是随着5G、下一代互联网的快速发展,面向数字时代的网络威胁在不断升级,作为对抗威胁的重要技术手段,ATT&CK威胁框架也不断发展演化。国内外众多安全研究工作者、安全厂商纷纷采用ATT&CK威胁框架,进行技术分析研究或产品落地实践,ATT&CK不仅成为产品安全能力的标配,而且在用户防御体系建设中也已成为衡量安全能力的一个重要指标。
但同时,国内外业界都面临一个痛点——如何才能有效和准确地验证自己网络防御体系和安全产品的ATT&CK能力?美国研究机构MITRE虽然率先推出了终端安全产品的测试评估方案,但每次测试只使用1-2个APT高级攻击,覆盖的攻击技术有限,无法较全面验证产品的ATT&CK能力,并且由于国际地缘政治的原因,MITRE去年已停止了中国厂商参与测试的资格。
在这样的背景之下,赛可达实验室于2020年5月推出了基于自主研发的ATT&CK能力测试验证系统的测试方案,这也是继MITRE之后,全球第二家、国内首家推出基于ATT&CK威胁检测能力测试的第三方检测机构,并提出了攻击技术覆盖面指数概念,填补了我国在ATT&CK能力测评技术上的空白。
赛可达实验室ATT&CK能力测试方案推出后也是广受认可,包括奇安信、亚信安全、深信服、TEHTRIS、安天等企业的EDR和主机安全产品相继通过测试并获得了《东方之星威胁检测能力证书》。与此同时,赛可达实验室基于ATT&CK能力的网络安全有效性测试服务,在我国年度攻防演练实战中为数家关基单位提供了护网备战“最后一公里”检测服务,帮助用户取得了优异成绩。
据赛可达实验室CEO宋继忠表示,ATT&CK能力仿真测试系统及测评方案2.0版是基于同步全球威胁情报资源和检测技术的创新积累,在原测试方案基础上做出了重大更新升级,目前可覆盖ATT&CK全部14个攻击战术和270多个攻击技术。
另外,据赛可达实验室透露,他们将于今年举办第二届《ATT&CK技术与应用论坛》,期待与行业用户、安全厂商、测评机构、科研单位广泛合作,为有效提升我国网络威胁防护水平,做出积极地努力。《ATT&CK技术与应用论坛》由赛可达实验室、国家计算机病毒应急处理中心、国家网络与信息系统安全产品质量监督检验中心联合主办,首届论坛于2021年9月9日在北京成功举办,主题为“推进ATT&CK防御体系落地,应对数字时代网络威胁挑战”。作为在国内网络安全领域,由政、企、学、研、用和测评机构共同参与举办的第一个ATT&CK专业会议,得到了业内广大专业人士的欢迎和积极参与,搭建起了一个ATT&CK技术与应用交流的权威平台,为推进ATT&CK威胁框架产业落地进程,提升完善我国网络安全综合防控体系建设,发挥了积极的促进作用。