2020年5月5日,由國際反惡意軟件測試標準組織(AMTSO)主辦的2020國際網絡安全測評論壇在線成功舉行。來自全球50多位專家學者與6位演講嘉賓共議ATT&CK、ATT&CK的應用、測試即是服務TaaS、反勒索軟件產品測試以及測試透明度等熱門話題。賽可達實驗室CEO宋繼忠應邀參與并發表了關于《EDR產品攻擊檢測能力測試和ATT&CK》的主題演講,引起了與會者的關注和熱議。
目前,網絡攻擊方式和技術不斷變化,利用漏洞尤其是0Day、系統軟件、合法工具的攻擊,特別是APT攻擊的數量增多,攻擊進化日易復雜。據研究,36%的攻擊是不基于攻擊樣本文件的。基于樣本文件(Hash values)、IP、節點(domain)、沙箱等的檢測已不能跟上進攻方的步伐。越來越多的網絡安全產品加入攻擊行為分析、關聯數據分析、威脅情報等新技術以提高對攻擊的檢測能力,特別是對APT攻擊的檢測能力。
ATT&CK框架是由研究機構MITRE主導的一個描述攻擊行為的公開知識庫。該框架基于已知攻擊分析,將攻擊行為分為戰術(tactics)和技術(techniques),用于精煉描述攻擊行為。網絡安全產品應準確識別和記錄基于各種技術的攻擊行為數據,通過數據、威脅情報、溯源等技術分析,準確識別出威脅攻擊。
宋繼忠在演講中指出,ATT&CK知識框架為增強安全產品攻擊檢測能力和衡量產品攻擊檢測能力提供了新的思路,受到了國內外用戶和安全廠商的關注,落地應用場景越來越多,將逐漸成為網絡安全產品威脅檢測能力的標配。
宋繼忠介紹了《賽可達實驗室網絡安全產品威脅檢測能力測試方案》和應用ATT&CK的檢測經驗。他指出,衡量安全產品威脅檢測能力的兩個重要指標是攻擊技術覆蓋面(coverage of techniques)和深度檢測-攻擊鏈識別(deep analysis-attack chain detection)。安全廠商參會者指出,越來越多的用戶要求提供產品ATT&CK技術覆蓋面數據,而目前MITRE的測試無法滿足這一需要,對賽可達提出的技術覆蓋面指數及測試方法表示認同。
賽可達實驗室是繼MITRE之后,全球第二家推出基于ATT&CK的威脅檢測能力測試的機構,并率先提出了攻擊技術覆蓋面指數概念。宋繼忠表示,威脅檢測能力應是安全產品和網絡安全的核心。賽可達實驗室愿與用戶、安全廠商、測評機構、科研單位合作,共同努力,提供威脅防護水平,使網絡更安全。
來自MITRE 的ATT&CK測試負責人介紹了ATT&CK知識庫增長和變化情況,分享了基于ATT&CK的測試方法和應用經驗,并指出,基于ATT&CK的測試受到了越來越多廠商和用戶的認同,MITRE將繼續改進測試中的不足,繼續推進ATT&CK的應用場景落地。
賽可達實驗室
賽可達實驗室(SKD Labs)是國際知名第三方信息安全測評認證機構,也是中國合格評定國家認可委員會CNAS認可實驗室。秉承“公正、中立、科學、嚴謹”的服務理念,擁有世界領先的測評技術和數年豐富的國際測評經驗,致力為政企用戶和安全廠商提供權威第三方檢測服務。
測試業務范圍包括網絡安全有效性、網絡安全產品入圍選型、防火墻、主機防護、反病毒、APP、UTM、移動安全、APT、終端安全、云安全、反垃圾郵件、網關、流量管理和監控、負載均衡、網絡監控,以及VPN、IPS、IDS、WAF、上網行為管理、漏洞檢測和掃描設備、路由器、交換機、智能設備等網絡信息安全軟硬件產品和服務。
