在進階持續性威脅(APT)的危害之下,強調偵測防護的多種新一代端點安全方案興起,像是EDR、UBA,甚至是這幾年相當熱門的XDR,但為了克服企業人力與防護不足的挑戰,除了要推動這類產品朝向自動化發展,另一方面就是借助業者服務之力,像是自2017年以來,MDR這類代管偵測與應變服務興起。事實上,過去一些端點安全廠商的作法,就是同時販售產品及提供服務,MSSP業者也積極發展新世代SOC。

但是,面對這類資安代管服務的崛起,企業該如何去衡量其有效性?最近,我們看到由MITRE Engenuity舉辦的第四輪評估計畫,在3月底已經公布結果,持續幫助資安產品在偵測與防護能力進步。特別的是,隨著這項評估計畫的運作逐漸成熟,為了幫助更多的資安領域,在2022年,舉辦方MITRE Engenuity有了更多動作,將發起針對MDR與MSSP業者的全新評測。

託管服務評估計畫將於第二季進行,共17家業者報名

事實上,現在的ATT&CK評估計畫,不只提供Enterprise的評測項目,為了突顯OT場域的防護技術能耐,在2021年舉行首屆ICS評估計畫,到了2022年,MITRE Engenuity擴展新項目,是針對託管服務的評估,名為Managed Services A­TT&CK Evaluations,目標是提升MDR與MSSP服務的透明度。

關於首屆託管服務評測,最初是在2021年10月公布,當時邀請MDR與MSSP業者參與,目的是希望提高各界對於資安服務供應商的信任,同時幫助這些供應商服務的能力提升,可以達到更專業的要求,預計在2022年第2季進行評測,第3季發表結果。

特別的是,最近,在4月16日,MITRE Engenuity宣布,首次舉辦的託管服務評估計畫,共有17家資安業者報名參與,除了微軟、趨勢、Palo Alto Networks、Bitdefender、BlackBerry、CrowdStrike、Cybereason、SentinelOne、Rapid7、OpenText、Sophos、WithSecure參與,還有Atos、BlueVoyant、Critical Start、NVISO,以及Red Canary。

全新的首屆託管服務評估計畫有何不同?

其實,從過去MITRE的Enterprise評估計畫來看,曾試圖將產品與MSSP的形式一併納入評測,沒有額外的區分。例如,在2020年進行第二輪評估時,他們在偵測類別新加入MSSP一項,但後續又取消了此一類別。如今推出新的評測項目消息一出,看起來顯然是打算將這類託管服務評估獨立出來,也讓原先的Enterprise評估計畫,更聚焦於產品本身的能力。

然而, 這項針對MDR與MSSP的全新評估計畫,相較於現行ATT&CK for Enterprise,有何不同?

MITRE Engenuity目前已公開幾個重點要求,例如,在託管服務評估計畫中,設計上是聚焦於管理安全技術的人員,並非檢視供應商產品的功效,而且,評測之前,不會公布所要模擬的攻擊假想對象──比起過去預先公布考題的做法,新方式將進一步提升評估成效。如此將更像一般企業面臨入侵的狀況,儘管知道ATT&CK彙整上百個駭客組織慣用手法,但並不知道實際上會面臨哪一駭客組織的攻擊情境,而能更真實地測試其能力。

已有近半數企業採用偵測與回應工具面對防不勝防的APT攻擊,儘管近年資安界持續提倡偵測與回應的重要性,但從MITRE Engenuity在2021年委託Cybersecurity Insider進行的調查顯示,在2021年仍有5成多的企業,尚未使用偵測與回應的工具來了解他們的網路,並有超過2成5仍依賴邊界防護策略。

近5成企業組織對其資安託管服務信心不足

值得一提的是,在發起新計畫之前,其實MITRE Engenuity已先進行這方面研究,結果指出,企業對託管服務安全解決方案,存在信心不足的狀況。

在2021年,他們也委託Cybersecurity Insider調查,瞭解組織是否用已知情資防禦,亦即運用對手的攻擊技術,來理解防禦、檢測與緩解攻擊,以及對資安服務的信賴度。

而在調查結果當中,我們看到下列現象。以企業自身狀況而言,有5成受訪者表示,他們並未使用偵測與回應工具,增加內部環境可視性,並有25%仍依賴傳統邊界防禦。同時,有68%的企業表示使用MSSP或MDR服務,但在這些用戶中,有接近48%對於託管服務的人員與技術信心不足,只有28%表示非常信任,24%的企業有一定程度的信任。

綜觀這些統計結果,在使用MSSP或MDR的企業中,雖然已有半數信任其服務,但也還是有半數存疑,若能讓進一步讓這些企業了解其能力並取得信任,會更理想。 因此,MITRE Engenuity認為,新的評估計畫將提供更多機會,可讓MSSP與MDR業者展示其能力,幫助企業了解如何識別內部威脅。

換言之,對於企業用戶而言,可以更清楚瞭解如何對應威脅,而對於提供資安服務的業者而言,也可以瞭解本身的市場競爭優勢與劣勢,進而驗證與改進他們在入侵後(post-exploit)分析的能力。

綜合來看,這其實意味著此計畫的另個不同之處,其重點之一是放在事後檢討報告與紫隊演練的面向。

在「2021 Managed Services Report」中,還有更多關於企業使用MSSP與MDR服務的現況,MITRE攻擊模擬工程師Cat Self表示,調查中顯示有近6成9企業使用MSSP或MDR服務,並有4成5的受訪企業是同時擁有內部SOC團隊並採用託管服務。

【資安託管服務需提升用戶信賴程度】為了了解企業對於資安託管服務的信賴程度,在MITRE Engenuity的調查結果顯示,非常信任與一定程度信任的比例,占5成2,仍有4成8企業對這類服務信任不足。而2022年將舉行的託管服務評測,或許將是MSSP與MDR業者展示其價值的機會,讓用戶更清楚其識別組織內部威脅的能力。

最後,綜觀這四年來,這項評估計畫規模與面向正持續擴大。在既有針對Enterprise項目的MITRE Engenuity ATT&CK評估計畫之外,除了2021年進行首屆針對工業控制系統(ICS)工具的評估計畫,以及上述即將在今年2022年第二季進行首屆針對託管服務的評估計畫,其實,今年還有一項全新的實驗性計畫將展開,首先聚焦於不同類型資安技術──欺敵(Deception)的研究。

MITRE ATT&CK評估計畫自2018年發起以來,基於Enterprise的評測已舉辦到第四輪,特別的是,評測的面向正逐漸擴大,例如,2021年針對工業控制(ICS)的全新評測,今年種類更多,2022年將舉行針對託管服務(Managed Services)的項目,另一值得注意的是,今年同時還發展出首次的新興試驗計畫,將先針對欺敵技術進行評估研究。

熱門新聞

Advertisement