Mitre ATT&CK 发布Carbanak+FIN7挑战报告，Bitdefender EDR 检测率全球排名第一

纽盖特

2021年4月20日，MITER ATT＆CK®发布了最新一轮年度EDR安全解决方案评估报告：Carbanak+FIN7 挑战。今年，全球29个网络安全公司的产品参加了测试，它们能够检测出Carbanak和FIN7的攻击。

Carbanak+FIN7简介

Carbanak+FIN7 是臭名昭著的APT金融犯罪集团，他们使用复杂的恶意软件和攻击技术，主要攻击金融机构，造成了一系列严重破坏事件。迄今为止，Carbanak已为30个国家/地区的数百家银行造成了超过3亿美元的损失，而FIN7则从全球受害者手中窃取了超过1500万张信用卡记录。

他们在利用创新攻击技术方面享有盛誉。高效的间谍活动和隐身性是他们战略的重中之重，他们严重依赖脚本编写，模糊处理，“隐藏在视线范围内”，在掠夺环境的同时充分利用机器背后的用户。他们还利用独特的攻击工具，涵盖复杂的恶意软件和广泛的系统平台，包括Windows和Linux。

Bitdefender在2019年专门发布了针对Carbanak的研究报告，详细请参阅：Bitdefender-Carbanak研究报告

为什么Mitre ATT&CK®的评估具有很高的价值

Mitre ATT&CK®评估利用了网络安全行业测试中独有的方法。MITER不仅测试了EDR解决方案检测和阻止网络威胁的能力，还精心模拟了复杂攻击的全部行为。MITER要求在评估过程中关闭被测产品的拦截功能。这种方法详细揭示了解决方案中嵌入的各种技术层的功能，可以检测，分析，提供攻击杀伤链的所有阶段/子阶段的遥测和可见性。

广泛的MITER ATT＆CK知识库有助于构建测试方法，因为它提供了整个网络安全行业的通用词汇表和一致性。MITRE ATT＆CK评估的价值在于能够分析测试解决方案的鲁棒性和完整性。这使得该测试对于不仅对自动阻止攻击能力感兴趣的组织，而且对于希望在整个执行阶段抵抗高级攻击的组织都非常有意义。在安全运营中使用MITRE的方法可以极大地增强组织的网络弹性，并提高网络防御者发现和收集对敌活动有价值的见解的机会。

如何使用MITER ATT＆CK报告来指导您的网络安全决策？

MITER评估的一个不寻常的特征是没有竞争性排名，从而导致各种解释，使得普通用户很难理解测试结果。总体而言，MITRE ATT＆CK评估结果包含如下几个关键指标：

• 检测 - 可以用来识别对手行为的任何原始或处理信息。此度量标准包括原始遥测（例如“进程启动”或“文件创建”）和分析检测（例如“常规检测”，“战术”或“攻击技术”）。检测计数代表所有类型的检测总数。请注意，攻击中包含的174个子步骤中的任何一个都可以具有多个检测（因此，“检测”的总数可以超过子步骤的数量）。
• 遥测覆盖 - 可以进行遥测的子步骤数。
• 分析 - 任何经过处理的检测，例如应用于遥测的规则或逻辑（例如ATT＆CK技术映射或警报描述）。
• 分析覆盖率 - 1个或多个分析可用的子步骤数。
• 可见性 - 可以进行分析或遥测的子步骤数。
  

Mitre ATT&CK® Carbanak+FIN7 评估结果

Mitre ATT&CK® Carbanak+FIN7挑战—中国市场EDR产品结果汇总

备注：由于亚信安全属于OEM产品，不等于TrendMicro的原装产品，产品具有差异性，因此结果不统计在如下图片中。

EDR评估结果排行：Bitdefender > Symantec > McAfee

指标解读—哪些指标与您的组织相关？

接下来，您将要了解与您最相关的指标。通常，检测与任何组织都息息相关，因为解决方案能够检测到的攻击元素越多，其有效性就越高。

在拥有安全运营中心（SOC）的组织中，遥测覆盖是一项有价值的度量标准，在安全运营中心中，存在用于进一步分析原始信息的工具，资源和专有技术。

分析覆盖指标为检测提供了上下文。可行的分析有助于降低警报疲劳的风险，并降低安全分析师所需的调查工作。对于资源受限的IT和安全运营团队的组织而言，这使得分析覆盖成为极有价值的指标。

可见性是原始检测（遥测覆盖）和上下文警报（分析覆盖）的组合，可提供解决方案提供攻击元素可见性能力的一般视图。

总结

在参加MITER ATT＆CK评估的29家网络安全厂商中，BitDefender 以366的检测排名第一，检测到100％的针对Linux系统的攻击技术，检测次数最多，可检测范围最广的网络威胁，其检测数量比Symantec检测数量高出近50％。

Bitdefender还提供了优秀的分析洞察力来实现有效的安全操作并减少警报疲劳，在测试中脱颖而出。 其他许多供应商在没有附加上下文的情况下生成的大量遥测数据，将给安全团队的调查工作带来更大的负担和工作量。

此次的测试结果充分证明了Bitdefender EDR顶级的安全能力，Bitdefender EDR安全平台是中大型企业的最佳选择。

阅读完整的评估报告：

https://attackevals.mitre-engenuity.org/enterprise/carbanak_fin7/

l.html

zwl2828

Tips: MITER ATT＆CK 的测试结果解读方向不同，往往结论也不同。

ericdj

居然没有Kaspersky

feiren

ericdj 发表于 2021-4-24 22:37
居然没有Kaspersky

这个只测EDR吧？kaspersky EDR是哪个产品想不起来了，记得KES不算EDR，这里也没有AVAST / AVG，倒是Webroot老东家Open Text在测试里
https://www.kaspersky.com.au/ent ... ection-response-edr
扫了一下好像没看到哪个产品名，没仔细看

纽盖特

feiren 发表于 2021-4-25 18:36
这个只测EDR吧？kaspersky EDR是哪个产品想不起来了，记得KES不算EDR，这里也没有AVAST / AVG，倒是Webro ...

Open text是哪个国家的

风林12刀

不错，支持一下

feiren

纽盖特 发表于 2021-4-27 07:05
Open text是哪个国家的

枫叶国的
PS：对WebRoot没什么好感