Sophos 在 2024 MITRE ATT&CK® Evaluations 中表现超卓:Enterprise

MITRE ATT&CK® Evaluations评估帮助组织更好地了解 EDR 和 XDR 解决方案在防御复杂的多阶段攻击中的有效性。在最新的评估中,Sophos XDR 取得了以下佳绩:

  • 在 Windows 和 Linux 勒索软件攻击场景中,100% 的敌手活动获得了最高(‘Technique’ (技术))评级
  • 在所有三个综合场景中,80 项敌手活动中有 78 项获得了最高(‘Technique’ (技术))评级


下载评估简介了解更多关于 Sophos XDR 的信息

2024 MITRE ATT&CK Evaluations: Enterprise 3:12

2024 MITRE ATT&CK® Evaluations:Enterprise(第 6 轮)

MITRE ATT&CK® Evaluations 是全球最受推崇的独立安全测试之一。这些评估模拟现实中敌手团体使用的战术、技术和程序 (TTP),并评估参与厂商在侦测、分析和描述威胁方面的能力,评估结果与 MITRE ATT&CK® Framework 框架的用词和结构相一致。

第 6 轮评估聚焦于受三大已知威胁团体所启发的行为:

  • 朝鲜民主主义人民共和国(朝鲜) 
    评估模拟了朝鲜通过多阶段操作针对 macOS 的行为,包括提升特权和窃取凭证。
  • 勒索软件(CL0P 和 LockBit) 
    评估模拟了使用 CL0P 和 LockBit 勒索软件攻击中常见的行为,包括滥用合法工具和停用关键服务。
mitre enterprise 2024 emblem

评估结果

Sophos 在三个综合的攻击场景中,在 80 项敌手活动(子步骤)中的 78 项均达到了完整 ‘technique’ (技术) 等级覆盖 - 最高的评级。

mitre attack evaluation panels
mitre attack evaluation panels lockbit ransomware
mitre attack evaluation panels
mitre-color-key

解读 ATT&CK Evaluations 结果

了解本次企业评估回合中的评级和分类。

解读 ATT&CK 评估结果

detections-key

在评估过程中,MITRE 模拟的每个敌手活动(称为 ‘sub-step’ (子步骤))会取得以下评级之一。这些评级反映了解决方案在侦测、分析和描述敌手活动方面的能力,且评估结果与 MITRE ATT&CK® Framwork 框架的用词和结构一致。

  • 不适用 —‘miss’(错过“):敌手活动未被侦测到,或该子步骤的评估未完成。
     
  • None (无):子步骤成功执行,但厂商提供的证据未达到记录的 Detection Criteria (侦测标准),或者未提供红队活动的证据。‘None’ 评级中不包含任何修饰符、注释或截图。
     
  • General (一般):该解决方案能够自主识别恶意/可疑事件,并报告事件的内容、发生地点、时间相关人员。
     
  • Tactic (战术):除了符合’General’评级的标准外,该解决方案还提供了关于攻击者潜在意图的信息,即’为什么’,并与 MITRE ATT&CK 战术一致。
     
  • Technique (技术) — 最高等级:除了符合 ’Technique’ 评级的标准外,该解决方案还提供了攻击者实现目标的方法的详细信息,即操作是如何执行的。
     

归类为General、Tactic 或 Technique 的侦测会按‘Analytic Coverage“‘ (分析覆盖率)定义来分类,这量度解决方案将遥测数据转化为可操作的威胁侦测的能力。

Sophos 在本次评估中,在 80 项敌手活动(子步骤)中的 78 项均达到了完整 ‘technique’ (技术) 等级覆盖 -最高的评级。

了解更多关于侦测类别的信息,请访问 MITRE 网站

侦测质量对安全分析师来说至关重要,这提供所需信息来帮助他们快速有效地调查并做出响应。这图比较各参与厂商,所产生侦测的子步骤数量,这提供敌手行为的丰富细节(分析覆盖),和达到了完整‘technique’ 级别覆盖的子步骤数量。

MITRE 不对 ATT&CK 评估的参与者进行排名或评级。

 

下载评估简介

评估攻击场景

本次评估包括三个攻击场景,共计 80 个敌手活动(子步骤)。

攻击场景 1:朝鲜 (macOS)

朝鲜已成为全球的强大网络威胁,通过将攻击目标扩展到 macOS,能够渗透更多高价值的系统。在该攻击场景中,MITRE 团队使用来自供应链攻击的后门,随后进行持久化、发现和凭据访问,最终收集并泄露系统信息和 macOS 钥匙串文件。

  • 4 个步骤 | 21 个子步骤 | 仅限 macOS
  • Sophos XDR 在该场景中成功侦测并提供了 20 个子步骤(在 21 个中)的丰富 ’analytic’ 覆盖(占比 95%1
  • 其中 19 个子步骤获得了 Technique’ 级别分类,这是最高的评级

在 MITRE 网站上查看该场景的完整结果
 

scenario 1 flowchart icons
scenario-dprk-95
scenario 2 flow chart icons
scenario-clop

攻击场景 2:CL0P 勒索软件 (Windows)

CL0P自 2019 年起活跃的勒索软件家族,隶属于 TA505 网络犯罪集团(又名 Snakefly),普遍认为由俄语系团体操控。在该攻击场景中,MITRE 团队使用了规避技术、持久性手段以及内存中的有效负载,进行发现和渗透,最后实施勒索软件攻击。

  • 4 个步骤 | 19 个子步骤 | 仅限 Windows
  • Sophos XDR 成功侦测并对 100% 的子步骤提供了完整 ‘Technique’ 级别的覆盖

在 MITRE 网站上查看该场景的完整结果

攻击场景 3:LockBit 勒索软件
(Windows 和 Linux)

LockBit 是一种臭名昭著的勒索软件变种,采用勒索软件即服务 (RaaS) 模式运营,以其复杂的工具、勒索方式及高强度的攻击而闻名。在该攻击场景中,MITRE 团队通过窃取的凭证获得访问权限,接着部署渗透工具和勒索软件,来停止虚拟机并执行文件渗透和加密。

  • 8 个步骤 | 40 个子步骤 | Windows 和 Linux
  • Sophos XDR 成功侦测并对 100% 的子步骤提供了完整 ‘Technique’ 级别的覆盖

在 MITRE 网站上查看该场景的完整结果

scenario 3 flowchart icons
scenario-lockbit

1 Sophos XDR 为评估中的所有 80 个敌手活动(子步骤)生成了警报,并在 80 个子步骤中获得了 79 个 ‘analytic coverage’ 评级。
然而,在朝鲜 (macOS) 攻击场景中的一个子步骤中所生成的警报未达到 MITRE 侦测类别定义中的 ‘analytic coverage’ 侦测标准。

为什么我们参与 MITRE ATT&CK® Evaluations

MITRE ATT&CK® Evaluations 是全球最受推崇的独立安全测试之一。Sophos 致力于与业内最优秀的安全厂商一同参与这些评估。作为一个共同体,我们齐心协力,共同应对网络威胁。这些评估不仅帮助我们精益求精,不论个别和整体地,也为了确保我们所保护的组织的利益。

这次评估共有 19 家 EDR/XDR 安全厂商参与:

vendor logos in a grid layout

其他 MITRE ATT&CK® Evaluations

Sophos 积极参与针对企业解决方案和托管服务的 ATT&CK® Evaluations,始终取得骄人成绩,验证了我们在网络安全厂商的领导地位。

侦测与响应解决方案的市场领先厂商

开始使用 Sophos XDR

了解 Sophos 如何简化您的侦测与响应,并为您的组织带来更卓越的成效。

了解更多关于 Sophos XDR 的信息