Mitre edr技术能力评估

up::终端基础设施 Endpoint Infrastructure-EDR

  • 1. 背景

    • MITRE每年会举办一次安全产品能力评估,通过ATT&CK和真实的APT案例进行攻击模拟,最大程度环境真实的攻击场景,整体过程分为以下三步:
      • 1. 设计阶段
        • 选择威胁(APT事件、恶意软件等)
          • 意图: 考虑安全社区最关注的问题(例如,勒索软件与数据窃取)
          • 差异化: 平衡使用新的和以前测试过的技术
          • 复杂性: 考虑开发资源以及我们是在基线还是推动防御
          • 情报: 我们评估情报的数量和质量以彻底了解对手
        • 创建仿真计划
          • 分解: 将网络威胁情报 (CTI) 提取到单独的程序中
          • 链接: 将程序重新编译并组织成一个更大的仿真场景
          • 细化: 我们通过合作和有针对性的研究填补空白
        • 开发仿真
          • 工具: 选择/构建可以真实还原行为的攻击性工具
          • 定制: 捕捉重要的细节(例如,投递机制、C2等)
          • 回顾: 与 CTI 进行比较并注意偏差
          • 创建: 将所有信息编译成一个结构化的仿真计划
      • 2. 执行阶段
        • 访问环境
          • 环境: 为所有厂商供提供相同的执行环境
          • 噪音(仿真): 除了模拟技术(例如键盘记录)所需的活动之外,还有用户活动
        • 部署解决方案
          • 解决方案: 厂商使用实际配置配置其解决方案
          • 配置: 厂商确保预防、保护和响应仅用于检测评估,并自动用于保护评估
            • 注意:未经明确批准,禁止在评估开始后更改配置
        • 执行评估
          • 评估者:兼任攻击者和监考者,并提供检测指导以协助厂商
          • 防守方: 厂商担任紫队的角色
      • 3. 发布
        • 处理结果
          • 独特性: 独立考虑每个厂商
          • 一致性: 校准所有结果以确保一致性
        • 接收反馈
          • 审核: 厂商有 10 天的时间提供反馈,其中可以包括要考虑纳入的其他数据,或对初步结果的修改
          • 分析: 会考虑所有反馈并做出最终决定
        • 发布结果
          • 脱敏: 厂商对敏感性问题(例如规则逻辑)进行最终审查
          • 发布: 公开发布结果和方法
  • 2. 2021年的评估模拟Carbanak + FIN7

    • 介绍
      • **Carbanak 场景: **合法用户执行通过针对金融机构的鱼叉式网络钓鱼攻击提供的恶意载荷。在拿到权限之后,Carbanak 通过特权升级、凭证访问和横向移动来扩展对其他主机的访问,目的是破坏货币处理服务、自动柜员机和金融账户。当 Carbanak 损害潜在有价值的目标时,他们会建立持久性,以便他们可以了解金融组织的内部程序和技术。使用这些信息,Carbanak 将资金转移到他们控制的银行账户,
      • FIN7 场景:此场景模拟 FIN7 以酒店经理为目标,以获取信用卡信息。该场景开始于 FIN7 在不知情的用户执行恶意 .LNK 文件后实现对网络的初始访问权限。FIN7 然后转向特权 IT 管理员工作站。从这个系统,FIN7 键盘记录访问会计工作站所需的凭据。FIN7 然后转向会计工作站,建立持久性,并部署恶意软件从进程内存中抓取信用卡信息。
    • 操作流程
    • 技术范围
      • 对于 Carbanak 和 FIN7 评估,11 种 ATT&CK 策略中的 65 种 ATT&CK 技术都在此评估范围内。这包括涵盖 Carbanak 评估的 Linux 部分的 7 种 ATT&CK 策略中的 12 种 ATT&CK 技术。
      • 您可以通过查看我们在此处提供的层文件,在 ATT&CK 导航器中查看 Carbanak+FIN7 评估的范围内技术。预览图如下!专门归因于 Carbanak 的范围内的技术以蓝色突出显示,专门归因于 FIN7 的技术以红色突出显示,而 Carbanak 和 FIN7 均以黄色突出显示。
    • 环境
      • 评估是在 Microsoft Azure 中进行的。每个供应商都提供了两个相同的环境,由八台主机组成,每台主机都安装了他们的客户端软件。这两种环境分别用于仅检测和保护测试。
  • 举例:CrowdStrike评估结果

    • 告警策略
      • 攻击相关的指标都被分配了严重等级(信息、低、中、高、严重),同时还包含了丰富的上下文信息,如概述、对应的ATT&CK、进程、用户、主机及对应的资产信息等。此外,还使用CrowdScore(满分 10,结合攻击行为,跨进程、跨机器)来衡量当前攻击行为在客户环境的严重程度。
    • 其他策略
  • 参考

    • https://attackevals.mitre-engenuity.org/enterprise/participants/crowdstrike/results?adversary=carbanak_fin7&scenario=1#carbanak_fin7_test_11
    • https://attackevals.mitre-engenuity.org/enterprise/carbanak_fin7

Notes mentioning this note