自2022年MITRE Engenuity举办首次ATT&CK托管服务评估计划之后,相隔两年,2024年终于展开第二轮的评测,目的是考验资安托管服务供应商(MSSP)服务的能力。毕竟,虽然大型企业会重视资安侦测与回应产品的评估,但还有很多企业主要依赖MSSP来协助其保护资安,因此,这方面的技术能力评估同样重要。
与一般ATT&CK Enterprise评估计划相比,最大不同之处在于,在ATT&CK托管服务评测前并不会对外公布假想攻击对象,目的是更能反映真实世界的场景,让防御者在不了解对手身分情况下来识别与回应威胁。
对于ALPHV/BlackCat,Amy Robertson表示,该组展现了攻击者可带来多面向的威胁,并会利用技术创新来扩大其冲击。特别的是,该组织的RaaS模式使其招募的联盟伙伴可使用防御逃脱(Defense Evasion)技术,像是混淆与终止程序来关闭防护系统,并使用核心资料加密功能来瘫痪企业的业务运作。
随著这次评测结果的公布,外界可以前往例如,这次模拟评测共有15大步骤,包括从第一步骤开始,先模拟menuPass的建立潜伏,接著是初期探查、横向移动到子公司的网域控制器、凭证存取与发现、准备横向移动至子公司B网路、实际横向移动至子公司B网路,发现与额外的权限提升、资料搜集与渗出;再来是从第10步骤开始,模拟ALPHV/BlackCat的初始入侵与发现,凭证存取、利用凭证存取进行权限提升、收集与渗出、部署恶意Payload,到最后是加密以产生影响/抑制系统发现。
因此,外界可以针对这15个步骤,一一检视11家厂商在每个步骤的侦测结果表现。此外,由于去年MITRE Engenuity以大幅调整评估计划结果的呈现方式,因此我们若要检视每个步骤侦测结果的萤幕截图,可在单一页面直接浏览,并可一次选择3家厂商来做横向对比。