奇安信EDR——ATT&CK框架攻击技术覆盖面164个、勒索病毒查杀率100%,可看到attck覆盖率,另外还报了钓鱼邮件攻击
https://www.modb.pro/db/134164 图片可以看到attck覆盖率,另外还报了钓鱼邮件攻击
奇安信蝉联赛可达实验室企业终端安全和杀毒引擎两项大奖
1月19日,国际知名第三方网络安全检测服务机构——赛可达实验室发布2021年度赛可达优秀产品奖(SKD AWARDS)获奖名单,来自11家网络安全企业的24款网络安全产品入选此名单。其中,奇安信天擎终端安全管理系统、奇安信OWL反病毒引擎凭借强大的技术创新能力,从国内外众多优秀的产品中脱颖而出,斩获赛可达实验室“企业终端安全”和“杀毒引擎”两项大奖。
赛可达实验室CEO宋继忠表示,第三方检测是网络安全生态体系中必不可少的组成部分。SKD AWARDS评选面向全产业的网络安全产品和解决方案,旨在推动技术创新,提升网络安全产品质量,增强产品安全能力,推动其从可用到好用,从而助力企业打造国际级网络安全产品;同时,助力行业用户了解和选择最适合的产品和解决方案,构建牢固的安全防御体系。
奇安信终端安全负责人表示,奇安信天擎终端安全管理系统(简称“天擎”)是注重实效的一体化终端安全解决方案,帮助政企客户准确识别、保护和监管终端,确保终端在任何时候都能可信、安全、合规地访问数据和业务。天擎集成高性能病毒查杀、漏洞防护、主动防御引擎,深度融合威胁情报、大数据分析和安全可视化等创新技术,通过系统合规与加固、威胁防御与检测、运维管控与审计、终端数据防泄漏、统一管理与运营等功能,帮助政企客户构建持续有效的终端安全能力。
值得注意的是,自2020年率先通过赛可达实验室威胁检测能力测试之后,2021年9月,奇安信天擎EDR再度通过该项测试,并以ATT&CK框架攻击技术覆盖面164个、勒索病毒查杀率100%的佳绩再创同类产品新高。赛可达实验室威胁检测能力测试共包含三个部分,分别是ATT&CK技术覆盖面测试、基于场景的攻击链识别与深度检测以及反病毒检出与防护测试。测试结果显示,天擎EDR的ATT&CK技术覆盖数量达到164个,可深度识别多种技术组合攻击的完整攻击链并产生告警,同时病毒查杀率达到了99.2%,勒索病毒查杀率达到了100%,病毒误报率为0%,表现十分抢眼。
并且,作为天擎反病毒能力的重要组成部分,QOWL引擎具有丰富的格式识别和解析能力、支持PE和非PE病毒查杀,可完美修复被感染文件、能检测近十年的高危漏洞。其中,QOWL引擎支持Windows、Linux、Mac及信创操作系统,同时支持x86/x64、MIPS、ARM、ALPHA等多种CPU架构。通过模块化、病毒库细分、前置过滤条件匹配等手段,有效降低磁盘IO、CPU占用,大幅提升文件扫描速度,提供高精准病毒检测能力。
目前,奇安信正在为5000万政企终端保驾护航,并受到了客户的一致好评,成为中国终端安全领域当之无愧的领跑者:连续三年位列中国终端安全市场第一(IDC),中国EDR市场份额及产品战略双第一(IDC)。
赛可达实验室自2013年发起年度“赛可达优秀产品奖颁奖盛典(SKD AWARDS)”至今,得到了国内外网络安全界的广泛认可,被誉为“网络安全界的奥斯卡”,已成为衡量网络安全产品水平的重要指标之一。赛可达实验室专业测试团队依据国内外最新产品标准、威胁情报和发展趋势,在接近真实的应用场景中,对产品表现做了全方位测试,验证了产品的功能、性能和安全能力。所有获奖产品都通过了实验室严格测试,彰显出了它们在网络安全行业各自细分领域的国际先进水准。
本次赛可达针对ATT&CK®框架涵盖的技术点测试,测试用例集包括但不限于 Metasploit、CobaltStrike、Powershell Empire 等工具生成的 Payload、脚本、可执行文件,以及它们获取 Shell 后所执行的模块和命令。
因此对ATT&CK技术点的采集、检测能力覆盖度,将会直接影响到企业对黑客攻击的发现和响应效率。奇安信天擎EDR正是基于这样的考虑,参照ATT&CK关于初始访问(Initial Access) 、执行(Execution)、持久化(Persistence)、特权提升(Privilege)等攻击技术点的描述,结合近些年公开的APT攻击事件及方法,对每一个技术点进行了细化与扩展。最大程度的覆盖攻击者早期的攻击路径,并进行异常发现告警。
天擎EDR针对赛可达ATT&CK® 技术覆盖面测试结果:
本次测试选取的攻击链场景非常具有代表性,通过钓鱼邮件来携带恶意攻击样本,诱使终端用户点击打开恶意附件,恶意程序执行后获取当前用户的系统登录密码并设置系统关机倒计时。整个攻击场景共涉及ATT&CK 9个阶段10个技术点,例如初始访问(Initial Access) 中鱼叉式钓鱼攻击附件 (Spear Phishing Attachment)技术点,这通常会被黑客攻击者,尤其是APT攻击组织在攻击早期阶段所使用。
通过钓鱼邮件来投递攻击样本,一旦绕过了传统基于特征的恶意程序检测,攻击者将大概率直接获取内网权限,实现后续内网攻击窃取企业机密信息。
天擎EDR基于场景的攻击链检测告警截图:
关于天擎EDR
天擎EDR通过持续采集终端动静态数据,以威胁情报驱动,结合动态基线检测、机器学习等技术,采用安全风险告警、威胁深度调查、多维度响应的方式,补充了传统终端安全产品在检测高级威胁能力的不足,在对抗内网渗透、零日漏洞利用等攻击场景中获得更好的检测和响应效果,缩短对高级威胁的发现和处置时间,给企业终端提供更全面有效的防护。
1、 数据采集的全面性
天擎EDR持续采集终端动静态数据,包括资产、样本投递、内存活动、进程行为、网络访问、注册表修改、文件下载行为、进程注入行为和账户变更行为等数据。数据实时推送到终端大数据分析平台,进行统一的存储与分析。为威胁狩猎、调查分析、追踪溯源提供数据基础。
2、 威胁事件溯源
天擎EDR能够对威胁告警事件提供全面的可视化溯源能力。从事件关联的设备、涉及到的恶意进程的父子关系,到每个进程运行时间、详细路径、文件安全等级、网络访问关系、进程调用关系等清晰呈现,最终追溯到恶意事件根源,还原威胁真实目的、了解入侵路径、评估响应范围,帮助安全分析人员对威胁建立全面、清晰的认识。
3、 实时的远程深度调查
通过对指定终端进行实时深度调查,获取当前设备最新的安全状况信息,包括终端登录信息、计划任务、正在运行服务、启动项、开放端口等。帮助安全分析人员对异常终端进行远程问题排查及定位,提升调查分析的效率。
4、 丰富的应急处置手段
根据终端威胁告警的类型及扩散的程度提供不同等级的响应手段,如进程隔离、进程删除、样本加黑、网络隔离等,并支持将单次响应固化成全局策略,实现安全基线提高,以持续拦截威胁。
5、 多产品安全联动核心
天擎EDR通过标准化接口可与流量威胁分析设备天眼、NGSOC等多种安全管理平台进行联动,协同处置已知的流行威胁和未知的高级威胁。构建从网络威胁检测到终端威胁分析、响应、溯源的完整威胁处理流程,形成立体式高级威胁处置闭环。
赛可达实验室(SKD Labs)是国内外知名第三方信息安全测评认证机构,也是中国合格评定国家认可委员会CNAS认可实验室。实验室拥有世界领先的测评技术和数年丰富的国际测评经验,致力为行业用户和厂商提供“公正、中立、科学、严谨”的第三方测评认证服务。测试采用国内外通用的测试标准体系和技术,强调产品在真实环境中特别是在中国实际网络环境下的性能和功能表现。
