赛可达ATT&CK研究成果荣登国际网络安全测评论坛

2020年5月5日,由国际反恶意软件测试标准组织(AMTSO)主办的2020国际网络安全测评论坛在线成功举行。来自全球50多位专家学者与6位演讲嘉宾共议ATT&CK、ATT&CK的应用、测试即是服务TaaS、反勒索软件产品测试以及测试透明度等热门话题。赛可达实验室CEO宋继忠应邀参与并发表了关于《EDR产品攻击检测能力测试和ATT&CK》的主题演讲,引起了与会者的关注和热议。

1

目前,网络攻击方式和技术不断变化,利用漏洞尤其是0Day、系统软件、合法工具的攻击,特别是APT攻击的数量增多,攻击进化日易复杂。据研究,36%的攻击是不基于攻击样本文件的。基于样本文件(Hash values)、IP、节点(domain)、沙箱等的检测已不能跟上进攻方的步伐。越来越多的网络安全产品加入攻击行为分析、关联数据分析、威胁情报等新技术以提高对攻击的检测能力,特别是对APT攻击的检测能力。

ATT&CK框架是由研究机构MITRE主导的一个描述攻击行为的公开知识库。该框架基于已知攻击分析,将攻击行为分为战术(tactics)和技术(techniques),用于精炼描述攻击行为。网络安全产品应准确识别和记录基于各种技术的攻击行为数据,通过数据、威胁情报、溯源等技术分析,准确识别出威胁攻击。

宋继忠在演讲中指出,ATT&CK知识框架为增强安全产品攻击检测能力和衡量产品攻击检测能力提供了新的思路,受到了国内外用户和安全厂商的关注,落地应用场景越来越多,将逐渐成为网络安全产品威胁检测能力的标配。

宋继忠介绍了《赛可达实验室网络安全产品威胁检测能力测试方案》和应用ATT&CK的检测经验。他指出,衡量安全产品威胁检测能力的两个重要指标是攻击技术覆盖面(coverage of techniques)和深度检测-攻击链识别(deep analysis-attack chain detection)。安全厂商参会者指出,越来越多的用户要求提供产品ATT&CK技术覆盖面数据,而目前MITRE的测试无法满足这一需要,对赛可达提出的技术覆盖面指数及测试方法表示认同。

赛可达实验室是继MITRE之后,全球第二家推出基于ATT&CK的威胁检测能力测试的机构,并率先提出了攻击技术覆盖面指数概念。宋继忠表示,威胁检测能力应是安全产品和网络安全的核心。赛可达实验室愿与用户、安全厂商、测评机构、科研单位合作,共同努力,提供威胁防护水平,使网络更安全。

来自MITRE 的ATT&CK测试负责人介绍了ATT&CK知识库增长和变化情况,分享了基于ATT&CK的测试方法和应用经验,并指出,基于ATT&CK的测试受到了越来越多厂商和用户的认同,MITRE将继续改进测试中的不足,继续推进ATT&CK的应用场景落地。

赛可达实验室

赛可达实验室(SKD Labs)是国际知名第三方信息安全测评认证机构,也是中国合格评定国家认可委员会CNAS认可实验室。秉承“公正、中立、科学、严谨”的服务理念,拥有世界领先的测评技术和数年丰富的国际测评经验,致力为政企用户和安全厂商提供权威第三方检测服务。

测试业务范围包括网络安全有效性、网络安全产品入围选型、防火墙、主机防护、反病毒、APP、UTM、移动安全、APT、终端安全、云安全、反垃圾邮件、网关、流量管理和监控、负载均衡、网络监控,以及VPN、IPS、IDS、WAF、上网行为管理、漏洞检测和扫描设备、路由器、交换机、智能设备等网络信息安全软硬件产品和服务。

上一篇:倪光南:“新基建”风口下,网络安全是重中之重

下一篇:台湾两大炼油厂遭受勒索软件攻击,加油站混乱