主页 > 行业报告 > > 正文

奇安信天擎EDR首家通过赛可达威胁检测能力测试

2020-05-26行业报告 编辑:李木然

  奇安信天擎EDR首家通过赛可达威胁检测能力测试

  近日,国际知名第三方网络安全服务机构赛可达公布了最新一期测评报告,奇安信天擎终端安全管理系统(EDR)(以下简称“天擎EDR”)通过赛可达实验室威胁检测能力测试,并荣获“东方之星”证书。天擎EDR成为国内唯一通过该项测评的EDR产品。

证书

  赛可达实验室是继MITRE之后,全球第二家且国内首家推出基于ATT&CK的威胁检测能力测试的机构,并率先提出了攻击技术覆盖面指数概念。本次测试共包含三个部分:ATT&CK技术覆盖面测试、基于场景的攻击链识别与深度检测以及反病毒检出与防护测试。测试结果显示,天擎EDR的ATT&CK技术覆盖数量达到120个,可深度识别多种技术组合攻击的完整攻击链并产生告警,同时病毒查杀率达到了99.98%,表现十分抢眼。

  本次赛可达针对ATT&CK®框架涵盖的技术点测试,测试用例集包括但不限于 Metasploit、CobaltStrike、Powershell Empire 等工具生成的 Payload、脚本、可执行文件,以及它们获取 Shell 后所执行的模块和命令。

  因此对ATT&CK技术点的采集、检测能力覆盖度,将会直接影响到企业对黑客攻击的发现和响应效率。奇安信天擎EDR正是基于这样的考虑,参照ATT&CK关于初始访问(Initial Access) 、执行(Execution)、持久化(Persistence)、特权提升(Privilege)等攻击技术点的描述,结合近些年公开的APT攻击事件及方法,对每一个技术点进行了细化与扩展。最大程度的覆盖攻击者早期的攻击路径,并进行异常发现告警。

  天擎EDR针对赛可达ATT&CK® 技术覆盖面测试结果:

  本次测试选取的攻击链场景非常具有代表性,通过钓鱼邮件来携带恶意攻击样本,诱使终端用户点击打开恶意附件,恶意程序执行后获取当前用户的系统登录密码并设置系统关机倒计时。整个攻击场景共涉及ATT&CK 9个阶段10个技术点,例如初始访问(Initial Access) 中鱼叉式钓鱼攻击附件 (Spear Phishing Attachment)技术点,这通常会被黑客攻击者,尤其是APT攻击组织在攻击早期阶段所使用。

  通过钓鱼邮件来投递攻击样本,一旦绕过了传统基于特征的恶意程序检测,攻击者将大概率直接获取内网权限,实现后续内网攻击窃取企业机密信息。

  天擎EDR基于场景的攻击链检测告警截图:

  关于天擎EDR

  天擎EDR通过持续采集终端动静态数据,以威胁情报驱动,结合动态基线检测、机器学习等技术,采用安全风险告警、威胁深度调查、多维度响应的方式,补充了传统终端安全产品在检测高级威胁能力的不足,在对抗内网渗透、零日漏洞利用等攻击场景中获得更好的检测和响应效果,缩短对高级威胁的发现和处置时间,给企业终端提供更全面有效的防护。

  1、 数据采集的全面性

  天擎EDR持续采集终端动静态数据,包括资产、样本投递、内存活动、进程行为、网络访问、注册表修改、文件下载行为、进程注入行为和账户变更行为等数据。数据实时推送到终端大数据分析平台,进行统一的存储与分析。为威胁狩猎、调查分析、追踪溯源提供数据基础。

  2、 威胁事件溯源

  天擎EDR能够对威胁告警事件提供全面的可视化溯源能力。从事件关联的设备、涉及到的恶意进程的父子关系,到每个进程运行时间、详细路径、文件安全等级、网络访问关系、进程调用关系等清晰呈现,最终追溯到恶意事件根源,还原威胁真实目的、了解入侵路径、评估响应范围,帮助安全分析人员对威胁建立全面、清晰的认识。

  3、 实时的远程深度调查

  通过对指定终端进行实时深度调查,获取当前设备最新的安全状况信息,包括终端登录信息、计划任务、正在运行服务、启动项、开放端口等。帮助安全分析人员对异常终端进行远程问题排查及定位,提升调查分析的效率。

  4、 丰富的应急处置手段

  根据终端威胁告警的类型及扩散的程度提供不同等级的响应手段,如进程隔离、进程删除、样本加黑、网络隔离等,并支持将单次响应固化成全局策略,实现安全基线提高,以持续拦截威胁。

  5、 多产品安全联动核心

  天擎EDR通过标准化接口可与流量威胁分析设备天眼、NGSOC等多种安全管理平台进行联动,协同处置已知的流行威胁和未知的高级威胁。构建从网络威胁检测到终端威胁分析、响应、溯源的完整威胁处理流程,形成立体式高级威胁处置闭环。

  赛可达实验室(SKD Labs)是国内外知名第三方信息安全测评认证机构,也是中国合格评定国家认可委员会CNAS认可实验室。实验室拥有世界领先的测评技术和数年丰富的国际测评经验,致力为行业用户和厂商提供“公正、中立、科学、严谨”的第三方测评认证服务。测试采用国内外通用的测试标准体系和技术,强调产品在真实环境中特别是在中国实际网络环境下的性能和功能表现。

大家都爱看
从“持续验证”到“持续保护”, 腾讯牵从“持续验证”到“持续保护”, 腾讯牵 天地和兴发布《新一代工业网络安全白皮天地和兴发布《新一代工业网络安全白皮
查看更多热点新闻