Skip to content Skip to navigation Skip to footer

最新消息

Fortinet 首度參加 MITRE Engenuity ATT&CK 評比,驗證 FortiEDR 強大防禦與偵測能力

台北報導 - 2021年6月15日
-

 

近日,MITRE Engenuity 公佈了其最新一輪 ATT&CK(Adversarial Tactics, Techniques, and Common Knowledge)評比結果。評估團隊針對 29 款不同的端點安全產品功能進行評鑑,旨在測試這些產品偵測各種常見網路攻擊策略和手法(例如 Carbanak 和 FIN7 等駭客團體的攻擊活動)的能力。

這個評估並非易事,它涵蓋攻擊生命週期中 20 多個不同步驟,還有超過 170 多個子步驟。除了產品評比外,MITRE Engenuity ATT&CK 攻擊評比結果還詳述每款資安產品運作模式的重要觀察。Fortinet 認為,用於評比活動中攻擊手法和策略的偵測能力將同樣適用於偵測其他攻擊活動,包括尚未出現的攻擊活動。

2020 年 MITRE 推出全新的防禦評比,對部分產品進行測試,旨在確認受測產品除了識別與記錄之外,是否同時具備可阻擋關鍵攻擊手法和策略的能力。解決方案偵測惡意活動的能力雖然重要,但鑑於今日網路威脅的複雜性、加上認知到長時間百分之百的預防難以維持,因此,「阻擋」能力則更被看重。

或許你會問:「阻擋惡意活動一定比較好嗎?」但情況並非總是如此。所謂阻擋,尤其是基於行為的阻擋,不一定比較好,因為許多惡意攻擊活動的行為,可能也是一些常見合法的行為。儘管「行為阻擋」在 MITRE Engenuity ATT&CK 評比的測試情境中看起來不錯,但對需要部署在生產環境中資安產品卻不見得合適。在某些情況下,偵測所帶來的價值,因其所產生過多的訊息與過多的調查工作,反而得不償失, 從 MITRE Engenuity 的測試結果充分證明了這個觀點。

防禦評估結果

舉例來說,測試 13 模擬 FIN7 駭客組織發動的攻擊活動,旨在擴大組織內的存取。首先,惡意程式以 PowerShell 指令碼下載了兩份文件,儘管 FortiEDR 將其識別為可疑活動,但仍允許它正常運作,因為在某些情況下(例如 IT 腳本),PowerShell 指令碼可合法用於下載文件。接著,PowerShell 指令碼嘗試登入有效帳戶,此有效用戶可以存取管理員共享硬碟。 FortiEDR 偵測並記錄該活動,但基於其合理性且沒有發生確切的惡意事件,FortiEDR 還不會對其採舉任何行動。隨著 FortiEDR  持續監控和蒐集證據,該活動仍可運行。然而,一旦下載的文件企圖透過 HTTP 惡意竊取資料,FortiEDR 就會立即執行阻擋動作。阻擋功能可防止並有效避免損害發生,接著進行自動回應來消除惡意活動。

FortiEDR 的研發旨在不影響系統或用戶的情況下保護資料並即時自動阻擋攻擊, FortiEDR 具備 Fortinet 專利的代碼追蹤功能,使 FortiEDR 可分析深層系統活動並準確識別可疑操作。除了阻擋文件篡改,例如勒索病毒加密文件,它還可以阻擋特定的惡意活動,例如連線命令和控制伺服器、資料外洩等。

基於設計理念,FortiEDR 精準的系統活動代碼追蹤功能使其在執行前期的攔截行動不會過於激進,FortiEDR 會持續蒐集相關數據,並在必要時當機立斷阻擋網路犯罪發生。儘管此代碼追蹤技術不在 MITRE Engenuity ATT&CK 評比範圍內,值得注意的是,此專利代碼追蹤技術會在阻擋之前持續記錄所有活動,一旦確認偵測到的惡意行為,FortiEDR 能在不重新啟動系統的情況下有效地回復惡意更改,並將系統恢復到已知的良好狀態。

MITRE Engenuity:偵測評估結果

FortiEDR 的設計原則在偵測評估結果中同樣可見,該評估涵蓋 20 個階段中的 177 個獨立步驟。儘管我們很高興展示了大約 70% 適用的步驟/子步驟偵測,而被歸類到未偵測的大多數步驟是產品設計理念使然。除了不屬於 FortiEDR 部署範圍的一系列 Linux 相關子步驟外,缺乏偵測最常見原因則是至今仍有意地選擇不標記在探索動作。

程序、系統資訊、系統網路、文件與目錄及其他探索動作均為複雜網路攻擊的基本元素之一,卻也是日常作業中的常見動作。資產管理與探索系統、程序效能監看程式、IT 執行腳本和其他性質工作會經常性地使用探索技術。為了避免一般 FortiEDR 用戶們無所適從,在設計上 FortiEDR 選擇不抓取此類訊息。換言之,FortiEDR 可以根據用戶要求調整活動記錄量的多寡。

FortiEDR 對標準應用層和標準加密協定的偵測回報方式也有所不同。FortiEDR 將其回報為可疑的通訊活動,而非將其描述為可疑的連接埠活動。儘管 FortiEDR 的識別功能在評比過程中不被視為符合偵測條件,我們也樂於見到第三方評比單位所期待的差異性。

評比的方式並無對錯之分,這些測試展現 Fortinet 產品的運作方式,更是企業用戶從 MITRE 評比獲取各類訊息的重要示範。

MITRE Engenuity 結論

這是 FortiEDR 第一次參與 MITRE Engenuity ATT&CK 評比,我們對評估結果及 MITRE Engenuity 欲傳達給更廣大網路安全社群的訊息感到非常滿意,我們也感謝 MITRE Engenuity 團隊所呈現卓越的專業精神。評估結果證實 FortiEDR 具備下述能力:

  1. 能夠 100% 阻擋用於防禦測試中,Carabank、FIN 7 和其他類似的攻擊活動;過去、現在和未來。
  2. 精確追蹤與評估細緻的系統活動,藉以全面偵測評估範圍內的手法和策略,並在最佳時機一舉阻擋攻擊行為。
  3. 清楚展現有意為之地設計原則,在有效性與準確性、精選資訊與壓倒性過量訊息間取得平衡。

有關 FortiEDR 在 MITRE 攻擊評估的結果報告可至 MITRE 官網查詢或聯繫 Fortinet 獲取更多資訊。

關於Fortinet ( www.fortinet.com/tw )

Fortinet (NASDAQ: FTNT) 致力保護全球大型企業、服務供應商和政府組織,為客戶提供完整的可視性與控制力,以因應日趨擴大的攻擊範圍,並滿足今日與未來不斷增長的效能需求。唯有 Fortinet 安全織網 (Security Fabric) 能解決最嚴苛的安全挑戰,為網路、應用程式、多雲或邊緣環境中的數位基礎架構提供滴水不漏的資料防護。Fortinet 的資安設備出貨量在全球排名第一,並深受全球 44 萬多名客戶的信任。Fortinet 網路資安專家 (Network Security Expert, NSE) 研究院不只是科技公司,也是教育機構,提供業界最完整的資安培訓課程。如需更多資訊,請至 Fortinet 台灣官網Fortinet 部落格 或 FortiGuard 實驗室

FTNT-O

Copyright © 2021 Fortinet, Inc. All rights reserved. The symbols ® and ™ denote respectively federally registered trademarks and common law trademarks of Fortinet, Inc., its subsidiaries and affiliates. Fortinet’s trademarks include, but are not limited to, the following: Fortinet, the Fortinet logo, FortiGate, FortiOS, FortiGuard, FortiCare, FortiAnalyzer, FortiManager, FortiASIC, FortiClient, FortiCloud, FortiCore, FortiMail, FortiSandbox, FortiADC, FortiAI, FortiAP, FortiAppEngine, FortiAppMonitor, FortiAuthenticator, FortiBalancer, FortiBIOS, FortiBridge, FortiCache, FortiCam, FortiCamera, FortiCarrier, FortiCASB, FortiCenter, FortiCentral,FortiConnect, FortiController, FortiConverter, FortiCWP, FortiDB, FortiDDoS, FortiDeceptor, FortiDirector, FortiDNS, FortiEDR, FortiExplorer, FortiExtender, FortiFone, FortiHypervisor, FortiInsight, FortiIsolator, FortiLocator, FortiLog, FortiMeter, FortiMoM, FortiMonitor, FortiNAC, FortiPartner, FortiPortal, FortiPresence , FortiProtect, FortiProxy, FortiRecorder, FortiReporter, FortiScan, FortiSDNConnector, FortiSIEM, FortiSDWAN, FortiSMS, FortiSOAR, FortiSwitch, FortiTester, FortiToken, FortiTrust, FortiVoice, FortiVoIP, FortiWAN, FortiWeb, FortiWiFi, FortiWLC, FortiWLCOS, and FortiWLM.

所有其它提及之商標各歸其擁有者所有。Fortinet 並未獨立驗證本處第三方機構所做之聲明或認證,亦不為此處任何聲明背書。即使本文載有相反規定,此處任何內容均不構成 Fortinet 的保證、擔保、契約、具約束力的規範或其他具約束力的承諾,也不構成與具約束力的承諾和效能有關的任何意向指示。此處的規範資訊可能僅屬於某些環境。本新聞稿可能包含涉及不確定性和假設性的前瞻性聲明,例如與技術發佈有關的聲明等。我們透過 www.sec.gov 送交給美國證券交易委員會的文件中提及的情況變化、產品發佈延遲或其他風險可能會導致結果與本新聞稿中明示或暗示的結果有重大差異。若不確定性獲得實現或此類假設證明為不正確,結果可能與此類前瞻性聲明與假設所明示或暗示的結果有實質差異。所有非歷史事實以外之陳述即可視為前瞻性陳述。Fortinet 沒有義務更新任何前瞻性聲明,並明確聲明不承擔此義務。