國內首家:賽可達實驗室發(fā)布威脅檢測能力測評方案
責編:gltian |2020-05-27 17:27:51近日,國際知名第三方網絡安全服務機構——賽可達實驗室繼研究機構MITRE之后,全球第二家且國內首家發(fā)布基于ATT&CK的《網絡安全產品威脅檢測能力測評方案》,并率先提出了攻擊技術覆蓋面指數概念。
當前,網絡攻擊方式和技術不斷變化,利用漏洞尤其是0Day、系統(tǒng)軟件、合法工具的攻擊,特別是APT攻擊的數量增多,攻擊進化日易復雜。據研究,36%的攻擊是不基于攻擊樣本文件的。基于樣本文件(Hash values)、IP、節(jié)點(domain)、沙箱等的檢測已不能跟上進攻方的步伐。越來越多的網絡安全產品加入攻擊行為分析、關聯(lián)數據分析、威脅情報等新技術以提高對攻擊的檢測能力,特別是對APT攻擊的檢測能力。
ATT&CK框架是由研究機構MITRE主導的一個描述攻擊行為的公開知識庫。該框架基于已知攻擊分析,將攻擊行為分為戰(zhàn)術(tactics)和技術(techniques),用于精煉描述攻擊行為。網絡安全產品應準確識別和記錄基于各種技術的攻擊行為數據,通過數據、威脅情報、溯源等技術分析,準確識別出威脅攻擊。
賽可達實驗室擁有多年網絡安全檢測技術和經驗的積累,根據ATT&CK知識框架,提出衡量安全產品威脅檢測能力的兩個重要指標:攻擊技術覆蓋面和深度檢測-攻擊鏈識別。
技術覆蓋面(Coverage of Techniques)就是安全產品所能覆蓋的攻擊技術數量。在測試中,使用測試工具、攻擊腳本和樣本模擬多種攻擊,產品日志應記錄或報警,日志數據應能夠清楚對應所用每一項攻擊技術。基于一種攻擊技術的數據分析常常不能正確判斷出攻擊行為,可能會產生誤報。因此,產品應具備攻擊鏈分析和識別的能力。深度檢測-攻擊鏈識別 (Deep Analysis – Technique Chain Detection)就是根據攻擊技術和技術鏈的關聯(lián)分析,正確識別出攻擊行為,并能夠及時報警和響應。
賽可達實驗室CEO宋繼忠指出,“威脅檢測能力應是安全產品和網絡安全的核心。ATT&CK知識框架為增強安全產品攻擊檢測能力和衡量產品攻擊檢測能力提供了新的思路,受到了國內外用戶和安全廠商的關注,落地應用場景越來越多,將逐漸成為網絡安全產品威脅檢測能力的標配。賽可達實驗室愿與用戶、安全廠商、測評機構、科研單位合作,共同努力,提升威脅防護水平,使網絡更安全。”
在賽可達實驗室首批網絡安全產品威脅檢測能力測評中,奇安信天擎終端安全管理系統(tǒng)(EDR)(以下簡稱“天擎EDR”)率先通過了測試,并獲得了國內首張“東方之星 威脅檢測能力”證書。本次測試共包含三個部分:ATT&CK技術覆蓋面測試、基于場景的攻擊鏈識別與深度檢測以及反病毒檢出與防護測試。測試結果顯示,天擎EDR的ATT&CK技術覆蓋數量達到120個,可深度識別多種技術組合攻擊的完整攻擊鏈并產生告警,同時病毒查殺率達到了99.98%,表現優(yōu)異。
賽可達實驗室
賽可達實驗室(SKD Labs)是國際知名第三方網絡安全服務提供商,也是中國合格評定國家認可委員會CNAS認可實驗室以及國際ISO/IEC 17025認證實驗室。秉承“公正、中立、科學、嚴謹”的服務理念,擁有世界領先的網絡安全檢測技術、數年豐富的國際測評經驗和專業(yè)的測試團隊,致力為政企用戶和安全企業(yè)提供權威的第三方網絡安全服務。服務范圍包含軟硬件產品安全測評認證、網絡安全有效性檢測評估、產品入圍選型測試、APP安全合規(guī)檢測認證、通用軟件測評、代碼安全審計等。