美國 MITRE Engenuity 主辦的 ATT&CK 公開評測(以下簡稱 MITRE ATT&CK)最新結果出爐,本輪共吸引 29 間國際資安大廠同台較勁,來自臺灣的奧義智慧科技是第二度參賽。MITRE ATT&CK 評測是由美國的非營利組織 MITRE 於 2018 年起啟動的計畫,2020 年起該計畫獨立為 MITRE Engenuity。歷年來藉由模擬不同 APT 組織在入侵過程中的戰術、技術與流程 (Tactics, Techniques and Procedures, TTP),以公平、公正且公開的方式,使大眾得以一窺各大資安廠商產品的實戰偵測成效。
第三輪的 MITRE ATT&CK 評測是以鎖定金融機關發起攻擊的 FIN7 與 Carbanak 駭客組織為主題,並首次納入 Linux 攻擊手法,結合 Windows 與 Linux 兩種作業系統總共 20 個攻擊步驟 (Step),以及進一步細分的 174 個子步驟 (Substep) 來整體檢視產品的威脅偵測能力。
面對駭客威脅,全自動 AI 能快速應戰,免去人為調整參數的兵荒馬亂
奧義智慧科技以旗下 CyCraft AIR 系列產品參與測試,延續第二輪 APT29 情境的優異表現,再次達成零延遲偵測 (Zero Delayed detections) 與零人為設定變更 (Zero Configuration changes) 的成績,證實了 CyCraft AIR 產品在面對複雜的 APT 攻擊時,擁有絕佳的偵測速度與 AI 全自動化,能在瞬息萬變的網路世界中協助客戶第一時間自動化應對惡意行動。
MITRE ATT&CK 評測中將偵測歸納為五個主要類別,從劣到優依序為未測出 (None)、遙測 (Telemetry)、一般 (General)、戰術 (Tactic) 及技術 (Technique),其中僅有一般以上的三種類別被計算為分析偵測 (Analytic Detection),而奧義智慧 CyCraft AIR 不僅在 20 個主要測試步驟之中,皆有達成分析偵測的子步驟,更是在本次新增的 Linux 測試中,成功以技術類別偵測出所有的攻擊,達到 Linux 系統下最高的可視性 (Visibility) 與分析偵測覆蓋率 (Analytic Coverage)。
「資訊安全是一場沒有煙硝的攻防戰,全自動 AI 是重要的致勝關鍵,」奧義智慧共同創辦人吳明蔚指出,零人為設定變更與零延遲偵測是 MITRE ATT&CK 評測極難達成的亮點指標,奧義智慧是唯一兩年都不依賴專家去調整參數的廠商,「比賽時很多友商技術人員為了提高偵測率,會邊比賽邊調整產品參數,但實務上客戶買回家不可能隨時都在調整來確保偵測率。」同時他也建議企業,若要評估評測結果時,須深入探討人為變更對結果產生的具體影響,並且除了可視性外,更應同時比較各項評測數據,掌握是否有快速可執行的分析結果。
奧義智慧 CyCraft AIR 於所有產品中擁有最高的信噪比
MITRE ATT&CK 評測環境中已有為數不少的雜訊,而現實世界的網路環境只會更加嘈雜,無可預知的駭客攻擊行動,往往被大量的混雜訊號、或者被視為遙測數據的部分合法使用行為淹沒,使得企業資安人員在面對過量資訊時無所適從,甚至不得不耗費大量時間分析、找出真正有價值的偵測資料,過高的可視性適得其反演變成疲勞告警,導致資安事件應變與調查的進展被拖累。
在所有評測產品中,奧義智慧 CyCraft AIR 產品達成了最高的 96.15% 信噪比 (Signal-to-Noise Ratio),這個數字是所有不重複偵測中,未經人為變更的分析偵測比例,故得以呈現產品的偵測是否能精確、有效地指出駭客攻擊行動的關鍵,並提供值得參考且可直接利用的資訊,而非包含了低階雜訊的過量告警。
「奧義智慧的 CyCraft AIR 以快速、精確、簡潔、全貌為設計宗旨,提供攻擊時序圖 (Storyline),能精準分析駭客入侵路徑,並且藉由高度視覺化的介面設計,幫助客戶企業的資安人員第一時間掌握全場域狀態,真正有效地處理資安事件。」奧義智慧共同創辦人邱銘彰解釋道,並說明 MITRE ATT&CK 評測的所有偵測結果與產品畫面截圖,均為公開透明的資料,企業可自行檢視並作為評估的依據,也推薦可以搭配 Gartner Peer Reviews 上的實際用戶評價,來挑選出最合適與符合需求的資安偵測產品。