شرکت ارزیابی ATT&CK رویکرد هوش مصنوعی ESET را مشخص می کند
شرکت ارزیابی ATT&CK رویکرد هوش مصنوعی ESET را مشخص می کند
شرکت ارزیابی ATT&CK رویکرد هوش مصنوعی ESET را مشخص می کند : در نسخه Enterprise ATT&CK® Evaluations امسال ، MITER سه سناریوی حمله را تنظیم کرد: یک سناریوی جمهوری دموکراتیک خلق کره (DPRK) برای آزمایش فعالیت جاسوسی سایبری علیه یک سیستم macOS، یک سناریوی Cl0p برای آزمایش حمله باجافزار علیه یک سیستم ویندوز، و یک سناریوی LockBit برای آزمایش یک حمله باج افزار علیه a محیط شرکتی شامل سرور لینوکس و ایستگاه های کاری و سرورهای ویندوز.
ESET Inspect دید خوبی را در هر سناریو نشان داد و هر مرحله را تشخیص داد و تعداد کل تشخیصها (یا حجم) را پایین نگه داشت شناساییهای ایجاد شده از حملات بهطور خودکار توسط سازنده رویداد ESET Inspect با حوادث مرتبط میشوند، و به تحلیلگران امنیتی ما دید متمرکزی از حملات و بنابراین درک روشنی از نحوه وقوع گام به گام آنها میدهد.
برای درک بهتر عملکرد ESET، به برخی از تغییرات روششناختی معرفیشده توسط MITER میپردازیم و سپس به چگونگی سادهسازی دیدگاه و گردش کار تحلیلگران امنیتی که در داشبورد ESET Inspect نشستهاند، میپردازیم.
توجه: نظرات و نظرات بیان شده در این وبلاگ متعلق به ESET است و لزوماً منعکس کننده دیدگاه ها یا مواضع MITER Engenuity نیست.
شرکت ارزیابی ATT&CK رویکرد هوش مصنوعی ESET را مشخص می کند
روش شناسی
این ارزیابی چندین تغییر سنجیده را در روش شناسی سناریوهای تشخیص به ارمغان آورد که به عقیده ما بهتر منعکس کننده کار تحلیلگر امنیتی در مقابله با حملات سایبری در دنیای واقعی است.
اولاً، تله متری دیگر یک دسته تشخیص نیست ، به این معنی که صرفاً نشان دادن وقوع یک رویداد کافی نیست. پایینترین دسته تشخیص اکنون عمومی است و به تشخیصی نیاز دارد تا نشان دهد رویدادی رخ داده است و به نوعی مشکوک یا مخرب است.
ذکر این نکته مهم است که رویدادی که در جعبه شنی رخ می دهد به عنوان رویدادی که در محیط مورد ارزیابی رخ می دهد واجد شرایط نیست. همانطور که در توضیحات مشخص شده است، یک تشخیص عمومی باید به چه، کجا، چه زمانی و چه کسی مربوط به محیط آزمایش شده پاسخ دهد، و اینها را نمی توان از طریق اجرای سندباکس خارجی پاسخ داد.
برخی از مراحل فرعی گنجانده شده است اما ارزیابی نشده است دلیل گنجاندن چنین مراحل فرعی شبیه سازی بهتر یک حمله سایبری در دنیای واقعی با اجتناب از پرش های غیرمنطقی در پیشرفت حمله است.
در نهایت، یک متریک حجم معرفی شد که تعداد تشخیص های نشان داده شده در داشبورد را ثبت می کند این روش دیگری برای جلوگیری از رویکرد «تشخیص همه چیز» است و فروشندگان را از اجازه دادن به داشبوردهایشان با میلیونها شناسایی منصرف میکند. ما نیز از این تنظیم استقبال می کنیم.
متریک حجم نیز با استفاده از پنج سطح بحرانی، زیاد، متوسط، کم و اطلاعات، شدت تشخیصها را ثبت میکند. از آنجایی که ESET Inspect دارای سه سطح شدت حادثه بالا، متوسط و پایین و سه سطح شدت تشخیص تهدید، هشدار و اطلاعات است، ما با تیم MITER Engenuity در مورد نقشهبرداری نشان داده شده در جدول 1 به توافق رسیدیم.
جدول 1. نقشه برداری بین سطوح شدت ATT&CK Evaluation و ESET Inspect
ارزیابی ATT&CK | ESET Inspect |
انتقادی | حادثه با شدت بالا |
بالا | تشخیص شدت تهدید با هر حادثه ای مرتبط است |
متوسط | تشخیص شدت هشدار با هر حادثه مرتبط است |
پایین | تشخیص شدت اطلاعات با نمره > 22، مرتبط با هر حادثه |
اطلاعات | تشخیص شدت اطلاعات با نمره <=22، مرتبط با هر حادثه |
اگر شما قصد دارید گوشی موبایل اندوریدی خود را از بدافزارها محافظت کنید پیشنهاد ما لایسنس Eset Mobile Secuirty تک کاربره هست شما میتوانید از سایت اقدام به خرید لایسنس نود32 کنید.
شایان ذکر است که چرا نمره شدت 22 را برای تقسیم سطوح شدت کم و شدت اطلاعات انتخاب کردیم. همانطور که در اسناد ما ذکر شده است :
قوانین با شدت 22 و زیر قوانین تله متری هستند. آنها معمولاً فقط به عنوان اطلاعات اضافی برای بررسی یک حادثه استفاده می شوند و اغلب می توانند توسط رفتار مشروع ایجاد شوند. اگر برخی از این قوانین ترافیک زیادی را در محیط شما ایجاد می کنند، ممکن است آنها را خاموش کنید.
از اینجا به بعد، ما فقط به سطوح شدتی که توسط ESET Inspect استفاده می شود اشاره می کنیم.
یک پیامد مهم استفاده از این نقشه برداری این است که تشخیص هایی که با یک حادثه مرتبط نیستند در ارزیابی خارج از محدوده هستند. این تا حد زیادی منعکس کننده استفاده مورد نظر از ESET Inspect در دنیای واقعی است: حوادثی که با تشخیص های مرتبط جمع شده اند، تمرکز اصلی برای تحلیلگران امنیتی است. اطلاعات دقیق اضافی و شناساییهایی که با حوادث مرتبط نیستند و در برخی موارد میتوانند ارزشمند باشند، ثانویه هستند.
از آنجایی که داشبوردها ناگریز دارای بخشهای مختلفی هستند که تشخیصها و سایر اطلاعات را به صورت جزئی، خلاصه یا گرافیکی نشان میدهند، به فروشندگان اجازه داده شد تا دیدگاه استانداردی را که انتظار میرود اپراتورهای امنیتی برای مدیریت حملات استفاده کنند، برای ارزیابی نشان دهند. فقط اطلاعات ارائه شده از طریق این نمای برای در نظر گرفتن تشخیص یا مثبت کاذب و برای اندازهگیری حجم واجد شرایط هستند. در ESET Inspect، نمای استاندارد برای تحلیلگران امنیتی Incidents است.
شما میتوانید با کلیک برروی خرید لایسنس نود 32 از سایت اقدام به خرید کنید این آنتی ویروس روی نسخه 15 و تا آخرین نسخه اینترنت سکیوریتی قابل اجرا میباشد.
حوادث
نمای حوادث اولین مکانی است که اپراتورهای امنیتی باید از آن برای مدیریت گردش کار خود استفاده کنند. حوادث به دو صورت به طور خودکار در این نمای جمع می شوند:
- ESET Incident Creator، که از یک موتور مبتنی بر هوش مصنوعی برای مرتبط کردن تشخیص ها به یک حادثه استفاده می کند.
- ESET Inspect، که در حال حاضر بیش از 100 قانون دارد که یک حادثه را به عنوان پاسخی به راهاندازی ایجاد میکند، شناساییها را در یک حادثه واحد توسط رایانههای آسیبدیده، یک دوره زمانی یا هر دو جمع میکند.
به اپراتورها توصیه می شود از گردش کار زیر استفاده کنند:
- هر حادثه را بررسی کنید.
- اگر زمان اجازه میدهد، تشخیصهای شدت تهدید را که با هیچ حادثهای مرتبط نیستند، بررسی کنید.
درست مانند ارزیابی سال گذشته، هر سناریو حمله دو بار اجرا شد. فروشندگان اجازه داشتند برای اجرای دوم تغییراتی در پیکربندی ایجاد کنند تا سعی در افزایش دید، کاهش مثبت کاذب و کاهش حجم داشته باشند. شکل 1 نمای حوادث را پس از اجرای تغییر پیکربندی نشان می دهد.
شکل 1. نمای حوادث در ESET Inspect برای اجرای تغییر پیکربندی
Incident Creator هیچ رویداد مثبت کاذبی در طول ارزیابی ایجاد نکرد. در مقابل، تنها یک یا دو حادثه در هر سناریو در اجرای تغییر پیکربندی ایجاد شد و تقریباً تمام تشخیصهای مرتبط موجود در ESET Inspect با یک حادثه مرتبط بودند.
جهت خرید لایسنس های نود 32 بصورت کاملا اورجینال و از آپدیت از سرور اصلی برروی خرید لایسنس نود 32 اقدام به خرید کنید.
نکات برجسته سناریو
در بخشهای بعدی، به نکات برجسته از نتایج ESET در هر سناریو خواهیم پرداخت.
کره شمالی
ESET Inspect بهطور خودکار سناریوی DRPK را بهعنوان یک حادثه با شدت متوسط که توسط Incident Creator ایجاد شده است، مدیریت میکند. نکات برجسته نتایج ESET در این سناریو شامل تشخیص افتادن دو درب پشتی به مکانهای مشکوک، فرآیندهای درب پشتی که به صورت Docker و Zoom ظاهر میشوند، سرقت از فایلهای زنجیره کلید و عدم وجود موارد مثبت کاذب است.
شکل 2 بخشی از رویداد مربوط به تشخیص های مرتبط با این حمله را نشان می دهد، که تشخیصی برای درب پشتی FULLHOUSE.DOORD در نصب پایداری برای درب پشتی مرحله دوم، STRATOFEAR ، به عنوان یک دیمون پرتاب برجسته می کند .
شکل 2. تشخیص های مرتبط از حادثه ایجاد شده توسط Incident Creator برای سناریوی DPRK
اگر قصد خرید لایسنس اورجینال تک کاربره را دارید میتوانید با کلیک برروی لایسنس اروجینال تک کاربره ESET NOD32 Antivirus – ESET Internet Security اقدام به خرید نمایید.
Cl0p
در اجرای تغییر پیکربندی، ESET Inspect بهطور خودکار سناریوی Cl0p را بهعنوان دو حادثه با شدت بالا مدیریت میکند، یکی توسط Incident Creator و دیگری توسط قانونی که تشخیصهای نقطه پایانی فایلکدها را نظارت میکند.
نکات برجسته نتایج ESET در این سناریو شامل تشخیص بارگیری نصب کننده SDBbot و DLL های بارکننده، تغییر کلید رجیستری برای دستیابی به پایداری برای SDBbot RAT، حذف کپی های سایه ، غیرفعال کردن بازیابی ویندوز پس از خرابی بوت، و باج افزار Cl0p exe است.
شکل 3 بخشی از رخداد شناسایی های مرتبط با این حمله را نشان می دهد، که تشخیص برای نوشتن فایل یا تغییر نام فایل فایل های قناری برای تشخیص زودهنگام اجرای باج افزار را برجسته می کند. قانون تحریک شده نه تنها روند تخلف را از بین می برد، بلکه یک حادثه در نمای حوادث ایجاد می کند.
شکل 3. تشخیص های مرتبط از حادثه ایجاد شده توسط Incident Creator برای سناریوی Cl0p
LockBit
در اجرای تغییر پیکربندی، ESET Inspect بهطور خودکار سناریوی LockBit را بهعنوان دو حادثه با شدت بالا مدیریت میکند، یکی توسط Incident Creator و دیگری توسط قانونی که برای شناسایی نقطه پایانی نرمافزارهای جاسوسی نظارت میکند.
نکات برجسته نتایج ESET در این سناریو شامل تشخیص ورود مهاجم از طریق VNC ، تغییر مقدار رجیستری برای فعال کردن ورود خودکار، استفاده از SSH برای اتصال به سرور لینوکس در شبکه داخلی، گسترش باجافزار LockBit به سایر ماشینهای شبکه از طریق PsExec ، اجرای LockBit و پاک کردن گزارش رویدادهای ویندوز برای مخفی کردن فعالیت نفوذ.
سخن پایانی
ما معتقدیم که خلاصه بالا بهترین تصویر را از رویکرد ما در طراحی ESET Inspect نشان میدهد. این نشان میدهد که تحلیلگران امنیتی میتوانند بسیار مطمئن باشند که هر زمان که ESET Inspect حادثهای را با تشخیصهای مرتبط به آنها جلب میکند، به طور مؤثر با تهدیدات واقعی مقابله میکنند.
یک بار دیگر، ما میخواهیم تأکید کنیم که تیم MITER بهطور حرفهای یک دور ارزیابی دیگر را اجرا کرده است، و تعدادی تغییرات را برای فروشندگان خوب ایجاد کرده است تا برای تنوع تاکتیکها و تکنیکهایی که در دنیای واقعی به اجرا در میآیند، بهجای «برنده» بودن، آماده شوند. از رقابتی که وجود ندارد.
از طرف ما، اگرچه ما مطمئناً به دنبال بهبود ESET Inspect در چند زمینه برای شناسایی مراحل فرعی مثبت واقعی هستیم، این باید در مقابل خطر این که افزایش چشمگیر پوشش می تواند دقت را کاهش دهد و حجم را افزایش دهد، متعادل شود، که همه این موارد رویکرد ما را مختل می کند. ، ارزش کمتر و کمتری را برای هزینه بیشتر و بیشتر به ارمغان می آورد.
به طور خلاصه، ما امیدواریم که دیدگاههای ESET در مورد ارزیابی امسال کنجکاوی شما را برای بررسی بیشتر نتایج ما در صفحه ارزیابی ارائه شده توسط MITER ATT&CK Evaluations روشن کرده باشد.
دیدگاه خود را ثبت کنید
تمایل دارید در گفتگوها شرکت کنید؟در گفتگو ها شرکت کنید.