2022年MITRE ATT&CK 评测结果概述-Wizard Spider和Sandworm

2022年4月1日

写在前面：本文不长，但对了解端点安全产品厂商的功力非常有意义。由于下一个文章也是关于端点安全实证测试，而这篇正好刚刚发布，所以就抓紧做了介绍，感兴趣的人可以去MITRE网站上仔细查阅测试过程，并和下一篇对照阅读。

2022年 MITRE ATT&CK 评测结果概述-Wizard Spider和Sandworm 

       从2019年开始，MITRE Engenuity开始模拟真实世界的攻击手法来测试端点安全产品，主要使用当年影响比较大的某个黑客团体的技术。2018年是APT3，2019年是APT29，2020年是Carbanak+FIN7，2021年是Wizard Spider+Sandworm。结果在第二年3月底发布。

攻击团伙描述

• Wizard Spider

       Wizard Spider 是一个以金钱为动机的犯罪集团，至少从2018年八月，就开始针对大量组织-从大型企业到医院，实施勒索软件活动。

• Sandworm

       Sandworm 小组是一个破坏性的俄罗斯威胁团伙，被美国司法部和英国国家网络安全中心认定为俄罗斯GRU 74455部队。其最引人注意的攻击包括2015和2016年针对乌克兰电力公司的攻击，和2017年NotPetya攻击。至少从2009年就一直保持活跃。

模拟说明

       本轮主要聚焦多个团伙如何滥用数据加密影响（Data Encrypted For Impact ，T1486)。在Wizard Spider 案例中，他们使用勒索软件加密数据，包括广为人知的Ryuk malwalwre（S0446)。另一方面，Sandworm使用加密破坏数据，最臭名昭著是他们的NotPetya 恶意软件（S0368），把自己伪装成勒索软件。虽然本年度评估的共同主线是数据加密的影响，但这两个团伙都有大量的报告，涉及广泛的漏洞后利用技术。

       2022年，MITRE Engenuity 选择了30个厂商来测评。

技术范围

        在Wizard Spider和Sandworm评估中，ATT&CK技术高亮部分是本次评测的范围。Linux技术包含在这次评估的范围中，虽然只占一小部分。评测的Linux部分对参与者是可选的，这也标志着影响手段首次纳入评估范围。

       下图中，紫色部分是Wizard Spider独有的，蓝色部分是Sandworm独有的，灰色部分是两者都用的。

环境

       环境部署在微软Azure云中，两个组织使用隔离的网络和域，评估的某些部分关闭了Windows Defender。服务器操作系统类型为Windows Server 2019, Windows 10 Pro, 和CentOS 7.9。

检测范围

       厂商使用他们自己的术语和方法检测和保护潜在的攻击行为。按照他们自己独特的方法给我们提供信息，我们的责任是使用分类抽象这些数据，并以相似的方法讨论产品。

       具体检测过程可参考：

https://attackevals.mitre-engenuity.org/enterprise/participants/?adversaries=wizard-spider-sandworm

       像Wizard Spider和Sandworm等威胁攻击团体，在过去的几年中，肆意妄行，开发和部署了如Conti、Trickbot、Ryuk 勒索软件等网络犯罪工具。最近，Sandworm（怀疑为俄国网络军队）发动了针对乌克兰基础设施的攻击。

       为了保证网络安全的提供商做好战争准备，MITRE Engenuity 使用真实世界的攻击场景和威胁团体使用的攻击技巧来测试安全厂商的防御威胁的产品功能-MITRE ATT&CK Evaluation。根据MITRE ATT&CK Framework的内容，来评估每个厂商的检测能力和功能。

       今年，在模拟评测中使用Wizard Spider和Sandworm所使用的攻击手法。MITRE Engenuity 对参与厂商很苛刻，就像以前提到过的-赌注太高了，风险一直在增加。

2022年的结果概述

       简单来说，MITRE ATT&CK Evaluation 衡量30个端点防护方案的保护功能。测试中两个关键衡量指标是整体检测和整体防护。

       一个参与者，Cynet，在博客中解释到：“整体检测（MITRE称之为“可见性”）是在所有190个子步骤中，检测到的攻击步骤数量。整体防护（MITRE称之为“防护”）衡量攻击序列中多早检测到威胁，导致随后的步骤无法执行。这两个都是重要的衡量指标，能够表明端点检测方案的强壮性。”

       下图展示了2022年参与厂商的整体检测和防护表现：

       下图是总结表：

工作过程

       MITRE ATT&CK使用独特的方法，今年测试30个厂商抵御当前发生在真实世界攻击的防护能力。在可控的模拟环境中，对每个厂商的平台和功能，检查和响应威胁的能力做出公正的评估。

       这些评估在每年三月底发布，供需要确定一个网络安全提供商支持他们安全项目的安全团队使用。MITRE ATT&CK评估，使用面向公众的方法，测试特定的功能，提供一个客观评估，不对厂商的表现排名。结果的解释，确定哪个厂商表现最好，取决于读者的决定。

       MITRE ATT&CK 评估的结果被认为是很有帮助的资源，安全领导和管理层有必要学习如何使用这些结果。困难是根据其他厂商的表现，理解这些结果意味着什么。

       每个厂商都对这个测试结果根据自己的产品功能和特点做了解读。

       MITRE ATT&CK 变成测试网络安全厂商保护真实世界威胁的能力定量评估的可信源。这个测试之所以对评价厂商非常重要，是因为基本上不可能根据厂商自己的宣传来评价他们的表现（确实有些稍微的夸大）。除了厂商客户参考和价值证明（proof of value，POV）评估之外，MITRE的结果为评估网络安全厂商增加了额外的客观输入。

       特别说明的是，MITRE不会给测试结果排名，相反，会把原始测试结果公开发表，使用一些基本的在线对比工具。根据组织不同的优先级和需求，买家能使用这些数据评估厂商。

 （完）

原文始发于微信公众号（安全行者老霍）：2022年MITRE ATT&CK 评测结果概述-Wizard Spider和Sandworm