Rapid7在2023年提供所有19个攻击步骤的可见性&CK® Evaluations: Enterprise

Last updated at Fri, 22 Sep 2023 18:47:42 GMT

七年前，我们开始改变soc检测和响应威胁的方式. With the introduction of InsightIDR, 我们希望解决误报和滚雪球般的复杂性问题，这些问题让分析师们精疲力竭, deteriorating security posture, and inhibiting necessary scale. 我们希望提供一种更直观和实用的方法，提供 most comprehensive coverage, with the strongest signal-to-noise. Today, as the robust XDR platform at the core of our leading MDR offering, insighttidr已经进化到能够应对突发威胁和不断扩大的攻击面, 同时保持我们的承诺，消除分散和拖延成功的安全团队的复杂性和噪音.

现在，我们很自豪地分享我们的参与和成果，从最近的MITRE独创性ATT&CK Evaluation: Enterprise, 这突出了我们在早期和整个杀伤链中识别高级持续威胁的能力, while maintaining disciplined signal-to-noise ratio to drive successful, real-world threat detection and response. 你可以找到关于这个评估的详细结果和信息 MITRE Engenuity ATT&CK Evaluation: Enterprise website.  

What You Need to Know

There is a lot of information to parse through in these results, 所以在这里，我们已经分解了这个评估的关键要点.

What is MITRE Engenuity ATT&CK Evaluations?

First, a quick primer: The MITRE ATT&CK framework 是网络攻击战术、技术和程序(TTPs)的目录和参考点。. 该框架为安全和风险团队提供了一个通用的术语和指南，以可视化检测覆盖范围并制定加强防御的计划. MITRE Engenuity’s ATT&CK评估是社区了解技术如何帮助防御已知对手行为的工具. In this most recent Enterprise evaluation, 重点是模仿Turla, Turla是一个总部位于俄罗斯的复杂威胁组织，以有针对性的入侵和创新的隐身而闻名.

Rapid7 Delivers Complete Kill Chain Coverage

insighttidr能够在攻击的所有19个阶段捕获相关的遥测和检测, 展示捕捉早期威胁指标的能力，并在攻击进行过程中始终如一地识别逃避行为. This year’s attack was particularly complex, 评估各种检测并利用多种形式的端点遥测. 然而并不是所有的技术都会留下残留物供事件响应者分析, 大多数人都会留下痕迹——如果你有合适的工具来帮助你寻找它们的话.

为了满足更深层次的可见性需求，以识别这些隐形攻击者行为的痕迹——就像在这次评估中模拟的那样——Rapid7已经利用了这一点 Velociraptor. 除了提供一个首要的DFIR工具来支持这种分析, Velociraptor还支持实时检测，将警报直接发送到现有的insighttidr调查经验中，因此分析师无需转向. 这是Velociraptor的新兴功能之一，充满活力的开源社区继续日复一日地帮助加强它. 本次评估中使用的Velociraptor版本嵌入到我们现有的Insight Agent中，并由Rapid7托管, 从所有开源生成的工件和快速开发的社区特性集的众包见解中受益的是什么.

Strongest Signal-to-Noise for Real World Efficiency

最重要的是，我们进行评估的目的是展示 exactly what the experience would be for an InsightIDR customer today; no messing with our Insight Agent configurations or creating new, unrealistic exceptions just for this evaluation. What you see is what you get. And consistently, when we talk to customers, 他们并不是在寻找能够对每一个细微的技术或程序发出警报的技术. 他们想知道，当不好的事情发生时，他们能够尽早确定威胁, quickly understand the scope of the attack, and know what to do about it. 这是我们的重点，我们很高兴通过这次评估来展示这一点.

展望未来:分层防御以增强我们的特工为未来做好准备的安全行动

While IT environments continue to grow in diversity and surface area, 端点群仍然是一个关键的安全焦点，因为它们变得越来越分散，并且仍然是丰富的数据和专有信息来源. Endpoint detections, like those showcased in this evaluation, are one 这是拼图的重要部分，但成功的安全程序必须包含 layered endpoint defenses – alongside broader ecosystem coverage.

我们继续投资，以提供这些分层防御与我们的单一，轻量级的洞察代理. From expanded pre-execution prevention and proactive risk mitigation, to high-efficacy detection of known and unknown threats, to detailed investigations, forensics, response, and automated playbooks, 客户信赖我们的Insight Agent，将其视为完整端点安全的核心. With layered defenses across cloud, network, applications, and users, we're also ready when attacks inevitably extend beyond the endpoint.

我们再次感谢MITRE Engenuity有机会参与他们的评估，并感谢他们对开放情报共享和透明度的共同承诺. 如果您正在寻找一个透明的合作伙伴来帮助您消除SOC的复杂性，并主动阻止攻击面的威胁, we would love the opportunity to help you. Learn more pg电子如何为像您这样的客户推动现实世界的安全成功.

这里表达的观点和意见是Rapid7的观点和意见，并不一定反映其所代表的任何实体的观点或立场.