MITRE Engenuity ATT&CK® Evaluation 證明Microsoft Defender for Endpoint 擁有阻止跨平台進階攻擊的能力

Microsoft Threat Protection Corporate Vice President Moti Gindi

Microsoft連續三年成功地在MITRE Engenuity ATT&CK（Adversarial Tactics, Techniques, and Common Knowledge）獨立評鑑中，展現了領先業界的防禦能力。

隨著攻擊面日漸提升，惡意程式者持續建立以各面向目標（如端點、身分、電子郵件、文件和雲端應用程式）式進階攻擊，因此需要安全解決方案能跨各面向自動分析威脅資料，並且能建立完整攻擊全視圖。2020 ATT&CK Evaluations著重在業界知名的進階威脅行為者，如FIN7和Carbanak（又稱為Carbon Spider）。今年嚴謹的評鑑包括整個攻擊鏈中超過174個步驟的偵測基準和防護模擬，影響了Windows客戶端、伺服器，和首次影響Linux裝置。

這類型的跨平台、複雜的模擬攻擊大幅提升偵測和防護的風險，從結果中可發現Microsoft Defender for Endpoint在每個攻擊的主要階段，都能有效偵測並防止惡意活動。在本次評鑑中，我們能夠測試Microsoft Defender for Endpoint的Linux功能。MITER Engenuity能夠從端點到端點、跨多個攻擊領域模擬Carbanak和FIN7攻擊，這代表防禦者可以透過Microsoft 365 Defender的最新功能，獲得超越端點防護的可見性。MITRE Engenuity’s ATT&CK Evaluations結果顯示Microsoft提供了：

• 領先業界的防護：Microsoft領先業界的功能可以幫助您快速辨識可疑活動，並即時遏制、迅速阻止攻擊。
• Linux上先進的偵測與防護：Microsoft Defender for Endpoint封鎖所有攻擊在Linux上，並提供獨家偵測、防護，以及全面捕捉Linux檔案伺服器惡意活動的可見性。
• 攻擊鏈上優異的偵測與可見性：我們世界一流的安全經驗以及Microsoft 365 Defender功能展現了完整的跨各面向攻擊內容，並能夠迅速將所有活動相互關連。

Microsoft認為ATT&CK Evaluations是能夠反映現實攻擊的全面性測試環境，因此我們選擇參與此評鑑。我們的使命是透過繼續推動優秀產品、傾聽客戶聲音，並投資研發以提供智慧解決方案，進而幫助世界提供一流的防護。而這些成功都要歸功於大量的投資和我們客戶至上的方針。

Microsoft Defender再次脫穎而出

Microsoft 提供深層與廣泛的威脅可視性和安全情報資訊整合到Microsoft Defender產品中，讓我們能在復雜的攻擊情境中脫穎而出。

領先業界的防護

Microsoft Defender for Endpoint能在攻擊最初期時就阻止並即時遏制後續影響。Defender for Endpoint可以快速辨識出可疑活動，並將其歸類為惡意活動。這可以防止攻擊者採取任何對裝置產生更多的攻擊措施，例如shell執行、發現、持續潛伏或滲透，進而有效停止模擬並阻止了攻擊的進行。

Microsoft Defender for Endpoint提供Linux上攻擊鏈的延伸可見性和涵蓋範圍。

Linux上先進的偵測與防護

我們針對Linux的端點安全功能可以輕易融入攻擊案例，而Microsoft Defender for Endpoint能夠提供攻擊鏈的廣泛可見性和涵蓋範圍，這顯示端點 EDR 偵測、防護和可見性對於當前Linux威脅態勢至關重要。Defender for Endpoint能夠全面捕獲Linux檔案伺服器活動，包括登入、連接、讀取和複製文件、各種異常活動及Pass-the-Hash（PtH）。我們很榮幸能夠透過將在Linux上提供到涵蓋範圍，持續擴展到所有主要平台（Windows、Linux、macOS、Android和iOS）上。

Microsoft 365 Defender 可以從1000個大量的警報中，變成只有兩個 Incidents。 

橫跨整個攻擊鏈的優異偵測和可見性功能

ATT&CK Evaluation的結果凸顯了我們橫跨整個攻擊鏈的深層偵測功能和全面性威脅可視性，包含：

• 偵測端點上的進階攻擊技術：
• 提供裝置活動時程的深層可見性：Microsoft 365 Defender透過事件發生當下時間軸，呈現裝置的詳細全視圖。裝置時程軸也為攻擊面技術提供新功能：將特定順序的獨立事件組合，並建立更有意義的攻擊技術識別。此功能讓Security Operations Center（SOC）的分析人員可以深入了解裝置上的活動，及其背後執行的潛在原因。

• 辨識與受入侵身分相關的活動：Microsoft 365 Defender利用裝置和身分信號，對裝置中受入侵帳戶提供深層可見性，以及提出警報。Microsoft 365 Defender使用複雜的技術，例如pass-the-hash和pass-the-ticket。Microsoft Defender for Identity在網域層級上分析並偵測受入侵帳戶，使用遠端服務追踪和提出橫向移動帳戶活動的警報。Microsoft 365 Defender的獨特優勢在於，它可以提供跨越端點以及網域（例如身分）的全視圖，為客戶提供了針對現代多方威脅的強大安全性。

Microsoft 365 Defender可以透過深層的偵測功能與廣泛的可見性，提供統整的攻擊視圖，並提供下述功能，讓SOC足以回應：

• 將警報連結，並串聯成詳細的攻擊歷程，並採用適當的MITER ATT＆CK技術標記，且納入所有需要的資料。透過我們龐大的情資系統整合威脅信號、攻擊來源，使SOC分析人員能夠獲取精確結論，並有效地採取行動。

• 從1,000多個警報中產生了兩個有意義的事件，這些事件將豐富資訊和內容匯整，讓SOC可以有效評鑑攻擊範圍，無需過往的大量分類和調查工作。在現在時間和資源有限的情況下，安全團隊需要快速有效調查極具挑戰性的情境，例如從Windows到Linux的橫向移動，以及因身分受入侵，而在整個組織中產生的可疑行為。

MITRE Engenuity Carbanak和FIN7 Evaluation細節

2020 MITER Engenuity ATT＆CK Evaluation反映了資安產業趨勢變化 ，而Microsoft樂意幫忙與貢獻。這些參與證明我們致力於與資安業界合作，使用能夠模擬現實攻擊情境的現代化方式評鑑我們的能力，並讓參與者之間能夠相互學習。

1. 在這次評鑑中，MITRE Engenuity擴大範圍，評鑑Linux和Windows上防護和偵測功能，因為Carbanak和FIN7攻擊者小組使用能與兩個平台互動的工具，包含特定攻擊技術。由於我們繼續在所有主要平台（Linux、macOS、Android和iOS）上擴展端點安全性，我們相當樂意在此次評鑑中測試中展現出我們的Linux能力。
2. 今年，MITER Engenuity沒有將託管安全服務提供者（MSSP）納入評鑑。這代表著Microsoft Defender for Endpoint提供的所有防護和偵測價值，都是透過AI驅動的全自動化進階演算法成果，此算法無需額外服務即可保護組織免受進階攻擊。
3. 最後，MITRE Engenuity首次執行了兩種評鑑。第一個是偵測評鑑，它測試了我們對進行中攻擊及其技術的可見性和警覺。第二個是防護評鑑，它測試了我們在早期階段阻止攻擊的能力。

為了全面執行Carbanak和FIN7的點到點偵測和防護模擬，MITRE Engenuity要求參與者提供兩種不同的環境：

• 偵測環境：MITRE Engenuity要求參與者關閉所有主動防護和封鎖功能。對Microsoft Defender for Endpoint和Microsoft 365 Defender的附加價值而言，這代表用以阻止此類攻擊的所有功能，如 automatic remediation flows, application isolation, attack surface reduction, network protection, exploit protection, controlled folder access, and next-gen antivirus prevention 功能皆已被關閉。
• 保護環境：所有主動防護和封鎖功能皆已開啟。MITER Engenuity挑選了一些在偵測評鑑的步驟到保護設定中進行測試。這使Microsoft 365 Defender能夠證明其在多個步驟中的封鎖能力，且在每個步驟的早期階段就阻止與封鎖執行。

符合現實世界的測試對於偵測和防止來說相當重要

隨著安全態勢改變，我們的使命是幫助防禦者解決最棘手和最關鍵的問題。攻擊者引發的針對性進階攻擊是安全團隊遇到最複雜的威脅。這就是參加如MITER ATT＆CK等評鑑如此重要的原因，我們可以確保自己提供的解決方案，足以讓防禦者保護其組織。我們對Microsoft Defender產品的願景，是為現代化工作場所提供領先業界的同類別最佳跨域安全性。Microsoft 365 Defender夠過結合下述各層面的防護，提供企業企業 extended detection and response (XDR)：端點防護（Microsoft Defender for Endpoint）、電子郵件和生產力工具（Microsoft Defender for Office 365）、身分（Microsoft Defender for Identity）和雲端應用程式（Microsoft Cloud App Security）。這種獨特的組合有助於在攻擊發生前將其阻止，快速而完整的回應，並讓安全團隊有更多時間專注於其關鍵的優先事項。

為了響應MITER Engenuity對抗Carbanak和FIN7惡意行為者團體相關的社群做出的貢獻，Microsoft研究人員致力於與MITER Engenuity合作和分享威脅情報。Microsoft分享了這兩個群體在焦點、工具和操作上主要相似與相異處，並分享了已知和全新策略、技術和流程（TTP）的證據。今年，MITRE Engenuity從收集威脅情報開始，透過實施複雜而現實的攻擊鏈，提升其攻擊情境。我們很高興看到，MITRE Engenuity吸取了Microsoft從前幾回獲得的回饋，並不斷發展其評鑑。這種協作和持續發展對整個安全社群都是有益的。我們感謝MITER Engenuity提供貢獻和參與今年評鑑的機會。

了解更多

Microsoft Defender for Endpoint是業界領導、雲端驅動的端點安全解決方案，涵蓋漏洞管理、端點防護、端點偵測和回應以及行動威脅防禦。透過我們的解決方案，威脅將不再構成問題。您可以善加利用Microsoft無人能敵的威脅optics和廣受認證的功能。點擊連結了解更多關於Microsoft 365 Defender或Microsoft Defender for Endpoint的資訊，並立即註冊試用。

若要了解更多有關 Microsoft Security. 解決方案的資訊，請查看我們的網站。記得將我們的 Security Blog 加入書籤，以獲得最新的資安專業報導。

若欲瞭解原文，請至微軟官方部落格參考。

另外，也請在 @MSFTSecurity 或 LinkedIn 上關注我們，以獲得網路安全的更新消息。

延伸資料：Cybersecurity