國內(nèi)首家:賽可達實驗室發(fā)布威脅檢測能力測評方案
責(zé)編:gltian |2020-05-27 17:27:51近日,國際知名第三方網(wǎng)絡(luò)安全服務(wù)機構(gòu)——賽可達實驗室繼研究機構(gòu)MITRE之后,全球第二家且國內(nèi)首家發(fā)布基于ATT&CK的《網(wǎng)絡(luò)安全產(chǎn)品威脅檢測能力測評方案》,并率先提出了攻擊技術(shù)覆蓋面指數(shù)概念。
當(dāng)前,網(wǎng)絡(luò)攻擊方式和技術(shù)不斷變化,利用漏洞尤其是0Day、系統(tǒng)軟件、合法工具的攻擊,特別是APT攻擊的數(shù)量增多,攻擊進化日易復(fù)雜。據(jù)研究,36%的攻擊是不基于攻擊樣本文件的。基于樣本文件(Hash values)、IP、節(jié)點(domain)、沙箱等的檢測已不能跟上進攻方的步伐。越來越多的網(wǎng)絡(luò)安全產(chǎn)品加入攻擊行為分析、關(guān)聯(lián)數(shù)據(jù)分析、威脅情報等新技術(shù)以提高對攻擊的檢測能力,特別是對APT攻擊的檢測能力。
ATT&CK框架是由研究機構(gòu)MITRE主導(dǎo)的一個描述攻擊行為的公開知識庫。該框架基于已知攻擊分析,將攻擊行為分為戰(zhàn)術(shù)(tactics)和技術(shù)(techniques),用于精煉描述攻擊行為。網(wǎng)絡(luò)安全產(chǎn)品應(yīng)準確識別和記錄基于各種技術(shù)的攻擊行為數(shù)據(jù),通過數(shù)據(jù)、威脅情報、溯源等技術(shù)分析,準確識別出威脅攻擊。
賽可達實驗室擁有多年網(wǎng)絡(luò)安全檢測技術(shù)和經(jīng)驗的積累,根據(jù)ATT&CK知識框架,提出衡量安全產(chǎn)品威脅檢測能力的兩個重要指標(biāo):攻擊技術(shù)覆蓋面和深度檢測-攻擊鏈識別。
技術(shù)覆蓋面(Coverage of Techniques)就是安全產(chǎn)品所能覆蓋的攻擊技術(shù)數(shù)量。在測試中,使用測試工具、攻擊腳本和樣本模擬多種攻擊,產(chǎn)品日志應(yīng)記錄或報警,日志數(shù)據(jù)應(yīng)能夠清楚對應(yīng)所用每一項攻擊技術(shù)。基于一種攻擊技術(shù)的數(shù)據(jù)分析常常不能正確判斷出攻擊行為,可能會產(chǎn)生誤報。因此,產(chǎn)品應(yīng)具備攻擊鏈分析和識別的能力。深度檢測-攻擊鏈識別 (Deep Analysis – Technique Chain Detection)就是根據(jù)攻擊技術(shù)和技術(shù)鏈的關(guān)聯(lián)分析,正確識別出攻擊行為,并能夠及時報警和響應(yīng)。
賽可達實驗室CEO宋繼忠指出,“威脅檢測能力應(yīng)是安全產(chǎn)品和網(wǎng)絡(luò)安全的核心。ATT&CK知識框架為增強安全產(chǎn)品攻擊檢測能力和衡量產(chǎn)品攻擊檢測能力提供了新的思路,受到了國內(nèi)外用戶和安全廠商的關(guān)注,落地應(yīng)用場景越來越多,將逐漸成為網(wǎng)絡(luò)安全產(chǎn)品威脅檢測能力的標(biāo)配。賽可達實驗室愿與用戶、安全廠商、測評機構(gòu)、科研單位合作,共同努力,提升威脅防護水平,使網(wǎng)絡(luò)更安全。”
在賽可達實驗室首批網(wǎng)絡(luò)安全產(chǎn)品威脅檢測能力測評中,奇安信天擎終端安全管理系統(tǒng)(EDR)(以下簡稱“天擎EDR”)率先通過了測試,并獲得了國內(nèi)首張“東方之星 威脅檢測能力”證書。本次測試共包含三個部分:ATT&CK技術(shù)覆蓋面測試、基于場景的攻擊鏈識別與深度檢測以及反病毒檢出與防護測試。測試結(jié)果顯示,天擎EDR的ATT&CK技術(shù)覆蓋數(shù)量達到120個,可深度識別多種技術(shù)組合攻擊的完整攻擊鏈并產(chǎn)生告警,同時病毒查殺率達到了99.98%,表現(xiàn)優(yōu)異。
題-11.jpg)
賽可達實驗室
賽可達實驗室(SKD Labs)是國際知名第三方網(wǎng)絡(luò)安全服務(wù)提供商,也是中國合格評定國家認可委員會CNAS認可實驗室以及國際ISO/IEC 17025認證實驗室。秉承“公正、中立、科學(xué)、嚴謹”的服務(wù)理念,擁有世界領(lǐng)先的網(wǎng)絡(luò)安全檢測技術(shù)、數(shù)年豐富的國際測評經(jīng)驗和專業(yè)的測試團隊,致力為政企用戶和安全企業(yè)提供權(quán)威的第三方網(wǎng)絡(luò)安全服務(wù)。服務(wù)范圍包含軟硬件產(chǎn)品安全測評認證、網(wǎng)絡(luò)安全有效性檢測評估、產(chǎn)品入圍選型測試、APP安全合規(guī)檢測認證、通用軟件測評、代碼安全審計等。
- 零售巨頭因勒索攻擊運營中斷數(shù)月,預(yù)計損失近30億元
- Pwn2Own 2025柏林黑客大賽:冠軍團隊斬獲32萬美元
- AI驅(qū)動時代,安全跨越鴻溝的困境和機遇
- 曝光:國內(nèi)某打印機官方軟件感染竊密木馬超半年
- 2025CSDI:大模型引領(lǐng)智能研發(fā)與IT組織變革
- 360助力“奧運冠軍之城”七臺河,培育新質(zhì)人才
- 智能創(chuàng)新 加速前行 | Fortinet發(fā)布2025年第一季度財報
- ISC.AI 2025正式啟動:AI與安全協(xié)同進化,開啟數(shù)智未來
- 360安全云聯(lián)運商座談會圓滿落幕 數(shù)十家企業(yè)獲“聯(lián)營聯(lián)運”認證!
- 280萬人健康數(shù)據(jù)被盜,兩家大型醫(yī)療集團賠償超4700萬元