奧義智慧連續兩年 ATT&CKⓇ 公開評測表現優異,全自動 AI 以 96.15% 信噪比奪冠

奧義智慧ATT&CKⓇ 公開評測全自動 AI 以 96.15% 信噪比奪冠

美國 MITRE Engenuity 主辦的 ATT&CK 公開評測(以下簡稱 MITRE ATT&CK)最新結果出爐,本輪共吸引 29 間國際資安大廠同台較勁,來自臺灣的奧義智慧科技是第二度參賽。MITRE ATT&CK 評測是由美國的非營利組織 MITRE 於 2018 年起啟動的計畫,2020 年起該計畫獨立為 MITRE Engenuity。歷年來藉由模擬不同 APT 組織在入侵過程中的戰術、技術與流程 (Tactics, Techniques and Procedures, TTP),以公平、公正且公開的方式,使大眾得以一窺各大資安廠商產品的實戰偵測成效

第三輪的 MITRE ATT&CK 評測是以鎖定金融機關發起攻擊的 FIN7 與 Carbanak 駭客組織為主題,並首次納入 Linux 攻擊手法,結合 Windows 與 Linux 兩種作業系統總共 20 個攻擊步驟 (Step),以及進一步細分的 174 個子步驟 (Substep) 來整體檢視產品的威脅偵測能力。


面對駭客,全自動 AI 能快速應戰,免去人為調整的兵荒馬亂

CyCraft AIR 連續兩年達成零人為變更與零延遲偵測
CyCraft AIR 唯一連續兩年達成零人為變更與零延遲偵測

奧義智慧科技以旗下 CyCraft AIR 系列產品參與測試,延續第二輪 APT29 情境的優異表現,再次達成零延遲偵測 (Zero Delayed detections) 與零人為設定變更 (Zero Configuration changes) 的成績,證實了 CyCraft AIR 產品在面對複雜的 APT 攻擊時,擁有絕佳的偵測速度與 AI 全自動化,能在瞬息萬變的網路世界中協助客戶第一時間自動化應對惡意行動

MITRE ATT&CK 評測中將偵測歸納為五個主要類別,從劣到優依序為未測出 (None)、遙測 (Telemetry)、一般 (General)、戰術 (Tactic) 及技術 (Technique),其中僅有一般以上的三種類別被計算為分析偵測 (Analytic Detection),而奧義智慧 CyCraft AIR 不僅在 20 個主要測試步驟之中,皆有達成分析偵測的子步驟,更是在本次新增的 Linux 測試中,成功以技術類別偵測出所有的攻擊,達到 Linux 系統下最高的可視性 (Visibility) 與分析偵測覆蓋率 (Analytic Coverage)。此外,在本輪參與模擬攻防評測的 29 間廠商中,僅有 5 間交出零人為設定變更的成績單,而同時達到零人為設定變更與零延遲偵測的,更只有包含奧義智慧科技在內的 3 間廠商

奧義智慧同時達到零人為設定變更與零延遲偵測
同時達到零人為設定變更與零延遲偵測的 3 間廠商

事實上,在 MITRE ATT&CK 的評測過程中,廠商能夠在每個攻擊情境發生後,以三種方式來變更與調整他們的解決方案,包含修改產品的偵測邏輯、修改感應器已收集更多原先未取得的數據、修改展示給使用者看的操作介面 (UX) 使原先不可見的資料或結果轉為可見等。無論是起初未能成功偵測出攻擊、抑或是明明有蒐集到資料卻沒有呈現在操作介面上,由原廠專家進行上述所有的參數調整,確實能夠顯著地提升可視性、繳出漂亮的評測成績單。

然而,少了聚精會神參加考試的原廠專家們,同樣的產品交到客戶手上使用,勢必無法如評測一般不斷修正參數,那麼這些產品還能發揮出成績單上那超常的偵測能力嗎?

很顯然地,在講究唯快不破與即刻反應的真實資安世界中,人為調整的做法是與理想情境背道而馳的,因此在 MITRE ATT&CK 評測中,人為設定變更與延遲偵測這兩項指標,是具有十足參考價值與指標性的數據。在全部 29 間廠商的攻擊步驟偵測中,高達 9% 的偵測是基於進行了人為變更,平均有人為介入設定變更的廠商執行了 28 次的變更。

造成人為設定變更的原因有很多可能性,當然並不能直接代表產品不好,MITRE ATT&CK 針對每間廠商的每一步行動,提供了公開且詳盡的資料,建議若要評估有人為變更的廠商產品時,透過資料去了解那些變更具體是什麼、在攻擊的什麼階段時發生、對結果又有哪些影響。另外,單純只看可視性也可能導致忽略告警疲勞的盲點,應同時比較各項評測數據,掌握是否有快速可執行的分析結果。


揮別低階雜訊與疲勞告警,奧義智慧達到 96.15% 信噪比居冠
奧義智慧 CyCraft AIR 擁有高達96%最優異的信噪比
奧義智慧 CyCraft AIR 於所有產品中擁有最優異的信噪比

MITRE ATT&CK 評測環境中已有為數不少的雜訊,而現實世界的網路環境只會更加嘈雜,無可預知的駭客攻擊行動,往往被大量的混雜訊號、或者被視為遙測數據的部分合法使用行為淹沒,使得企業資安人員在面對過量資訊時無所適從,甚至不得不耗費大量時間分析、找出真正有價值的偵測資料,過高的可視性適得其反演變成疲勞告警,導致資安事件應變與調查的進展被拖累。

在所有評測產品中,奧義智慧 CyCraft AIR 產品達成了最高的 96.15% 信噪比 (Signal-to-Noise Ratio),這個數字是所有不重複偵測中,未經人為變更的分析偵測比例,得以呈現產品的偵測是否能精確、有效地指出駭客攻擊行動的關鍵,並提供值得參考且可直接利用的資訊,而非包含了低階雜訊的過量告警。

Main Detection Category 主要偵測類別為:None無偵測、Telemetry遙測、General一般、Tactic戰術、Technique技術
分析偵測去除了遙測雜訊,為可執行的有效偵測結果

如同前述所提及,MITRE ATT&CK 評測僅將五種主要類別中的技術、戰術與一般納入分析偵測中,遙測則並未包含在內,也就是說分析偵測數事實上可以看作是有效可利用的偵測數。所謂的遙測事實上幾乎與原始資料無異,合法使用者的正常存取也可能觸發這類偵測,然而這卻會造成誤報和手動告警驗證等衍生困擾,使企業 SOC 或 IT 人員能量遭到無謂的損耗。

這正是為什麼我們不能單看一項可視性數據,就去斷言資安產品的偵測能力優劣,更應該將分析偵測覆蓋率、人為變更等數據考慮進來,用歸納過的信噪比數據來作為參考依據。對資安產品而言,高度的可視性就像一把雙面刃,能用來對付駭客、卻也一不小心可能傷了自己,須得謹慎地判斷使用、才能挑選出真正適合企業的產品。


時序圖技術搭配視覺化駕駛艙介面,精準掌握駭客攻擊成因

奧義智慧視覺化駕駛艙介面
奧義智慧時序圖技術
呈現出駭客攻擊途徑的時序圖

MITRE ATT&CK 評測之所以被認為透明度高,其中之一的原因便是它將各廠商所有偵測步驟的數據、細節和截圖等全都公開,交由人們自行查閱和判斷、作為評估資安產品時的依據。除了偵測數據以外,從產品的畫面截圖也能進一步了解實際使用時的狀況,例如資訊是否清晰展示、有沒有以圖表呈現關聯性等,以提供企業資安人員使用上的便捷性與速度。

奧義智慧的 CyCraft AIR 以 F/A/S/T 為設計的核心宗旨,由快速 (Fast)、精確 (Accurate)、簡潔 (Simple)、徹底 (Thorough) 四個概念所組成,並以奧義獨家專利的攻擊時序圖 (Storyline) 精準分析、自動繪製出駭客入侵路徑,提供全自動的威脅獵捕、操作易上手的使用介面,以及具完整上下文的 AI 鑑識分析,搭配駕駛艙概念的視覺化介面設計,使企業資安人員得以一目了然地掌握場域狀態,真正有效地處理企業資安事件。

Writer: CyCraft

關於 CyCraft

奧義智慧科技(CyCraft Technology)是一家專注於 AI 自動化技術的資安科技公司,成立於2017年。總部設於台灣,在日本和新加坡均設有子公司。為亞太地區的政府機關、警政國防、銀行和高科技製造產業提供專業資安服務。獲得華威國際集團(The CID Group)和淡馬錫控股旗下蘭亭投資(Pavilion Capital)的強力支持,並獲得國際頂尖研究機構 Gartner、IDC、Frost & Sullivan 的多項認可,以及海內外大獎的多次肯定。同時也是多個跨國資安組織和台灣資安社群的成員和合作夥伴,長年致力於資安產業的發展。

訂閱奧義智慧電子報

Thank you! Your submission has been received!
Oops! Something went wrong while submitting the form.
點擊此按鈕,即表示您同意奧義智慧的隱私權政策,並同意奧義智慧使用您所提供的資訊並寄送資訊給您。您隨時可以取消訂閱。