微軟威脅防護在MITRE ATT&CK評測中,偵測能力實際表現突出
最新一輪的MITRE ATT&CK評測再度證明,微軟的客戶即使面對APT29等進階式攻擊,仍能獲得妥善保護。在無需改變組態的使用下,微軟威脅防護( Microsoft Threat Protection, MTP) 的表現結果如下:
- 攻擊鏈的各階段近100% 的涵蓋率
- 系統預設即可提供攻擊者活動的能見度,相較於需仰賴變更特定配置的供應商解決方案,可大幅減少資安監控中心( Security Operations Center, SOC) 的人工作業
- 攻擊者能見度的缺口最少,可削弱攻擊者藏匿的能力。
除了偵測能力與能見度、自動化、優先排序、防範均為阻止進階式攻擊的關鍵外,微軟在測試期間的表現:
- 不需變更組態或自訂偵測規則即可自動且即時的傳送警訊;只有三家供應商未變更組態或仰賴延遲偵測,微軟為其中之一。
- 舉報超過80項警訊,使用內建自動化程序,將警訊透過關聯分析成只有兩起事件反映MITRE ATT&CK的兩項模擬,改善SOC分析效能,減少攻擊者停留時間和持久能力。
- 在保護攻擊過程中辨別七大步驟,讓測試時關閉的保護功能自動介入並阻止攻擊。
為進一步調查攻擊事件,微軟威脅專家更透過全方位的入口頁面方析,提供深入的事件脈絡和建議。該評測證明了MTP不僅提供簡單攻擊事件的可見性,亦記錄攻擊的所有階段,MTP會在攻擊過程中介入阻擋攻擊,並自動修復受影響的企業資產。
雖然評測著重於端點偵測與回應,MITRE模擬的APT29攻擊橫跨多項領域,微軟透過MTP讓防禦作業不只是終端保護,更將其對整體安全性狀況的能見度擴大至端點之外。MTP獲Gartner及Forrester認證,具備更大範圍的偵測和反應的防禦功能,並透過Microsoft Defender ATP(EDR) 的終端保護,以及電子郵件與生產力工具防護(Office 365 ATP)、身分識別防護(Azure ATP)、雲端應用防護(Microsoft Cloud App Security [MCAS])保護,讓資安端點防禦能力更上層樓。以下將深入分析和說明,MTP為何能在MITRE的評測中,成功展現獨一無二且新穎的視覺表現和偵測優勢。
以資安事件劃分,將即時的攻擊威脅進行優先排序並修補
如下圖所示,從廣度和範圍角度分析MITRE評測結果,在19項測試攻擊階段中,MTP提供絕佳涵蓋範圍(只有一項例外),換言之在真實情況下,SOC能獲知警訊,並清楚掌握兩項模擬攻擊情境的各個階段,從初始存取、佈建工具(deployment of tools)、發現、持續、驗證存取、橫向移動(lateral movement)到逐漸滲出(exfiltration)。MTP中的警訊均附帶豐富脈絡,包括詳細流程圖,呈現偵測之前的活動紀錄(遙測數據)、有關資產、附屬證據、警示資訊、SOC行動建議等。在MITRE評測中,真正警訊會標記「警訊」,而標記為「戰術」或「技巧」的項目未必都是真實警訊。
圖一:MTP偵測與阻止機會涵蓋攻擊鏈的各階段
註:第十階段「持續執行」註記為缺漏,是因為測試時發現的軟體Bug,本次評測提供持續改善產品的寶貴機會,這項Bug在測試完成後不久已解決。
MITRE APT29評測只專注於進階攻擊的偵測,無法衡量參與者是否能預防攻擊,但我們相信資安防禦不僅是知道攻擊事件已發生,預防攻擊也是個很重要的因素。雖然為了讓模擬攻擊運作更加完整,而刻意關閉保護措施,但使用審核預防組態(audit-only prevention configuration),MTP同樣捕獲和記錄,包括在預防功能開啟時,可完全阻止攻擊的位置。(如上圖所示)
MTP展示了如何提高SOC工作效率,並降低攻擊者的停留時間和攻擊蔓延範圍。SOC警訊疲勞也是一個嚴重的問題,若引發大量警報,將無法協助SOC分析師有效判斷和配置有限時間和資源,偵測和回應功能的資安產品必須即時的將警報中的重要攻擊行動進行優先排序。
相較於只發送警訊,MTP從事件切入,在終端、身分識別、雲端應用等不同領域中,自動辨別攻擊活動之間的複雜關聯,因為只有微軟能同時涵蓋這些領域的能見度,在此情況下,MTP運用遙測數據,將看似無關、橫跨不同領域的警訊,連結成兩項端到端事件,大幅簡化排序、分類、調查工作,在實際情況中,也能簡化自動反應,協助SOC彈性調整各項能力,MITRE對於類似問題,使用「相關」標示遙測數據和警訊,但目前為止尚未參照事件。
圖二:MTP入口頁面呈現第二天攻擊事件,包括相關警訊和受影響資產
圖三:第二天所有與SOC效率相關的警報事件和攻擊圖
微軟為系統預設效能領導者
從MITRE評測發現,在涵蓋範圍內、外的模擬步驟數量中,MTP在未變更組態的情況下,可提供零延遲的最佳保護。
微軟認為保護必須持久,尤其在攻擊持續發生時,不需變更大量組態,也不應透過發送大量假警訊而產生齟齬(friction)。
從下表可見,微軟在市售產品中缺漏的步驟(標示為「None」)最少,表格內亦記載標示為「組態變更」(Configuration Change)及偵測延遲(標示為「Delayed」)的數量,分別代表過程中調整及偵測延遲。
在測試中,只有三家廠商未調整組態或出現延誤,微軟即為其中之一。
本次APT29模擬分析57項MITRE ATT&CK技巧的涵蓋範圍和能見度,微軟亦名列前茅,涵蓋95%的技巧,如下表所示。
客戶考慮資安解決方案時,常會設想特定攻擊者,這也影響他們最關切的攻擊技術,故資安產品的可涵蓋的攻擊範圍更成為客戶重要考量因素。
圖五:評測內的攻擊技巧涵蓋情況
MTP提供橫跨身分識別、雲端、終端的獨到偵測和能見度
MTP的強大能力,源於同時來自終端、身分識別、雲端應用程式的獨特訊號,這項組合涵蓋其他解決方案可能缺乏能見度的範圍,以下為評測期間模擬的三項進階攻擊範例,橫跨身分識別、雲端應用、終端等領域,呈現MTP提供獨到的能見度與優越的偵測能力:
- 偵測最危險的橫向移動攻擊:Golden Ticket (黃金票據) —與其他廠商不同,MTP偵測Golden Ticket攻擊的獨到策略中,不只是仰賴終端的命令列次序、Invoke-Mimikatz 等PowerShell字符串,或DLL啟發法,這些攻擊者都有可能避開的管道,MTP透過身分識別元件Azure ATP,直接觀察Domain Controller,Azure ATP運用多種機器學習和協定啟發法偵測Golden Ticket攻擊時,分析各種異常情況,如加密降級、偽造授權資料、不存在的帳號、異常紀錄、異常時間等,MTP是唯一提供加密降級SOC脈絡的產品,並包括來源與目標機器、存取資源、涉及身分等資訊。
- 透過替代協議進行滲透:捕捉與阻擋攻擊者從端點移往雲端﹣MTP運用雲端存取安全代理程式元件MCAS,為OneDrive等各種雲端服務提供能見度和資安警訊,MTP使用MCAS條件存取應用程式管控機制,能夠監控雲端流量和資料滲出,只要包含被竊內容的ZIP檔案外漏至攻擊者控制的遠端OneDrive帳戶,就會自動發送警訊,特別要強調,在評測期間自動偵測到活動之前,微軟團隊並不知道MITRE Redteam使用的OneDrive帳戶。
- 發掘濫用LDAP的遠端系統恢復攻擊—在橫向移動之前,攻擊者常濫用LDAP協定探詢用戶群組和用戶資訊,微軟採用功能強大的新型感測器,具備獨到的LDAP探詢能見度,協助系統分析師調查,並偵測可疑LDAP活動模式,MTP的終端元件Microsoft Defender ATP透過感測器,避免仰賴PowerShell字符串和片段,而是使用每項從終端到Domain Controller的LDAP探詢結構和名稱,發現有關帳號和群組的廣泛查詢或可疑探詢。MTP也可能在Microsoft Defender ATP於終端偵測到LDAP攻擊後,與 Azure ATP在DC發現的LDAP事件進行合併和連結。
圖六:依據Domain Controller活動視覺的Golden Ticket警訊
圖七:深度原生OS感測器偵測到的可疑LDAP活動
微軟威脅部門專家:隨時隨地的威脅環境與獵捕技能
在本次MITRE ATT&CK評測中,微軟產品首次利用Microsoft Threat Experts的威脅獵捕服務,Microsoft Threat Experts主動獵捕網絡內最重要的威脅,包括人為惡意入侵、人員發動攻擊、網路間諜等先進攻擊等,在評測期間,這項服務使用與真實客戶事件相同的策略,希望傳送精準攻擊通知,為分析師提供活動脈絡分析,創造真正價值。Microsoft Threat Experts讓資安訊號更加豐富,並妥善提高風險層級,讓SOC專注於重要事項,也不會忽略任何缺口。
Microsoft Threat Experts通知領先其他參與廠商,充分整合在體驗中,結合在相關事件內,並連結至相關活動、警訊及其他證據,Microsoft Threat Experts協助SOC團隊輕鬆流暢地在調查事件時,接收與整合額外資料與建議。
圖八:Microsoft Threat Experts警訊整合在入口頁面中,並提供已連結的豐富脈絡
評測的透明度是威脅偵測與防禦的關鍵
如最新MITRE評測所見,MTP達到實際偵測、回應並抵抗進階式攻擊,MITRE測試主要是模擬實際攻擊,以便瞭解各解決方案是否能妥善偵測和回應,MTP在各類別均可明確偵測,並提供額外脈絡,呈現整體環境受衝擊的完整樣貌。MTP不僅能協助客戶偵測攻擊,在有需要時提供專業人員,更能透過自動化矯正,輕鬆回到安全狀態, Threat Experts人員亦可時時服務,提供更多脈絡和協助。
感謝MITRE提供參與測試機會,讓我們證明是擁有獨到威脅知識的三家廠商之一,因為掌握整體環境在訊號和能見度展現獨到知識和廣度,才能不斷屢創佳績,期待下次再參與評測,也歡迎各界指教與合作。
若欲詳見原文內容,歡迎至微軟官方部落格了解。