This post is also available in: English (英语) 繁體中文 (繁体中文) Français (法语) Deutsch (德语) Italiano (意大利语) 日本語 (日语) 한국어 (韩语) Português (葡萄牙语(巴西)) Español (西班牙语)
Cortex XDR 在今年的 MITRE ATT&CK 评估中创造了历史,是有史以来第一个在模拟攻击的每一步都实现 100% 检测并提供技法级细节的参与者。技法级检测代表了黄金标准,为安全分析师提供了识别攻击所需的精确信息。这是 Cortex XDR 连续第二年在没有配置更改或没有延迟的情况下实现 100% 检测,展示了无与伦比的一致性。
在所有供应商中,Cortex XDR 的预防率最高,而误报率为零 - 这对于端点安全来说是一个至关重要的指标。在预防阶段,即使是一次误报也会破坏合规的业务流程,影响工作效率。
今年的评估比以往更加严格,纳入了误报测试、macOS 支持和扩展的 Linux 场景。值得注意的是,参与的供应商从 29 家减少到 19 家,有几家知名供应商选择退出。在接受测试的供应商中,有三分之二的供应商检测到的攻击步骤不到 50%,这表明今年的评估更加严格。
我们为我们世界一流的威胁研究和工程团队感到无比自豪,因为这些团队提供了卓越的端点安全,使我们的客户能够领先于对手,比如本次评估中模拟的一些对手。
Cortex XDR:在 MITRE ATT&CK 第六轮评估中获得业界最佳的端点安全表现
Cortex XDR 在检测和预防两个评估场景中均表现优异,为端点安全设定了新的基准,重新定义了企业对网络安全解决方案的期望。
在三个检测场景中,Cortex XDR 创造了历史,首次实现了对所有模拟攻击步骤的 100% 技法级检测率,而且没有配置更改或延迟检测。这些结果再次印证了我们为 Windows、macOS 和 Linux 等主流操作系统提供最全面防御的承诺。
MITRE ATT&CK 评估还测试了预防能力,评估了解决方案在攻击可能造成破坏之前阻止这些攻击的能力。这是真实世界端点安全的精髓所在 - 尽一切努力预防,然后快速准确地检测出其他一切。
在第 6 轮测试中,Cortex XDR 阻止了 10 个攻击步骤中的 8 个,同时保持零误报。预防阶段的误报可能会破坏关键的业务运营,造成重大经济损失。Cortex XDR 能够将无与伦比的预防准确性与零干扰结合起来,这使它成为全球规模最大、要求最高的企业梦寐以求的端点安全解决方案。
虽然在预防测试中有两个攻击步骤不符合 MITRE 视为拦截的标准,但我们在这些步骤中采取的实际行动将会保护我们的客户并阻止泄露的发生。
- 在第三步中,攻击试图从中国的一个可疑的主机进行 SSH 连接,而 MITRE 的攻击步骤应该紧随其后。我们拦截了可疑的 SSH 连接,在较早阶段就阻止了攻击。
- 在第五步中,攻击试图加密数据,而 Cortex XDR 代理立即反转了加密操作。我们阻止了攻击,取得了唯一重要的成果,也就是保证了客户的安全。
什么是 MITRE ATT&CK 评估?
MITRE ATT&CK 评估是网络安全领域最严格的测试,旨在衡量端点安全解决方案检测和预防真实世界威胁的能力。MITRE ATT&CK 评估研究和模拟了老练的对手发起的攻击,使其成为安全有效性的真正基准。
今年的企业 2024 评估重点关注了两个截然不同但又高度相关的攻击源:
- 勒索软件:探索勒索软件活动中常见的行为,比如滥用合法工具、加密数据和禁用关键的服务或进程。MITRE 选择模仿 CLOP 和 LockBit 这两个臭名昭著的勒索软件即服务威胁团伙的技法。
- 朝鲜 (DPRK):模拟对 macOS 系统的攻击,灵感来自朝鲜使用模块化恶意软件提升权限以及瞄准凭据。
Palo Alto Networks 如何监控勒索软件和朝鲜之类风口浪尖的威胁?
作为 Unit 42 的延伸,Palo Alto Networks Cortex 威胁研究团队监控不断变化的威胁环境,将其发现结果转化为切实可行的情报,直接增强 Cortex XDR 的检测和防御能力。
在过去的一年里,在研究威胁行为者的战术、技法和程序 (TTP) 的日常工作期间,团队锁定了与朝鲜有关联的 APT 团伙,发现了用于渗透全球企业的新的活动和恶意软件。
朝鲜以其双管齐下的网络战战略而闻名,其核心是间谍活动和大规模的网络犯罪活动,旨在为朝鲜政权创造收入。我们的研究强调,朝鲜越来越重视以 macOS 用户和端点为目标,同时持续努力从全球各行各业的企业窃取加密货币和敏感信息。
团队的研究亮点已经与社区分享,欢迎在 Unit 42 威胁研究中心查阅,其中包括以下研究文章:
- 威胁评估:朝鲜威胁团伙
- Contagious Interview:朝鲜威胁行为者诱骗科技行业求职者安装 BeaverTail 和 InvisibleFerret 恶意软件的新变体
- Gleaming Pisces 中毒的 Python 软件包活动传播 PondRAT Linux 和 MacOS 后门
- 揭秘 Sparkling Pisces 的工具箱: KLogEXE 和 FPSpy
团队还发表了几篇关于 2024 年最猖獗的勒索软件团伙的研究文章。这些研究强调了这些团伙的演变,展示了其日益增强的复杂性和侵略性。研究进一步展示了 Cortex XDR 的检测和预防能力如何自动破坏这些行动并阻止敏感信息的加密。
要了解有关这些勒索软件团伙的更多信息,请参阅以下文章:
今年的测试有什么变化?
今年的 MITRE ATT&CK 评估引入了重大变化,反映了不断变化的威胁形势,更好地衡量了端点安全的有效性。
- 扩大了端点覆盖范围:测试首次涵盖了更广泛的端点平台,瞄准了 Windows、Linux 和 macOS 环境。范围的扩大确保了针对不同操作系统测试解决方案,从而更全面地了解防御能力。
- 纳入误报:另一个重要补充是纳入误报跟踪,这是真实世界部署中的一个关键因素。对供应商的评估不仅要看检测威胁的能力,还要看是否能避免不准确的检测,因为不准确的检测可能会使安全团队不知所措或扰乱关键业务流程。
通过纳入这些变化,MITRE 执行了迄今为止最具挑战性和现实性的评估。
一致性至关重要 — Cortex XDR 年复一年实现卓越的结果
Palo Alto Networks 致力于为客户提供最高质量的网络安全技术,这需要卓越的人才以及在研究和工程方面的投资。我们的团队年复一年通过了 MITRE ATT&CK 评估的严格考验,向全世界展示了我们辛勤工作的成果,对此我们深感自豪。
自 2022 年以来,Cortex XDR 在 MITRE 评估中的检测结果一直处于行业领先地位。我们相信,每年的攻击模拟都能提供独特的见解,让我们了解世界上的各种威胁行为体以及网络安全行业在防御这些威胁行为体方面的立场。有鉴于此,我们在互动展板中公开记录了所有 MITRE ATT&CK 评估结果,便于逐年比较。
感谢 MITRE 以及所有使用 Cortex XDR 保护端点的客户。我们很荣幸成为您的首选网络安全合作伙伴。
如果您想实际观摩一下 Cortex XDR,请联系我们安排演示。