2021年4月20日,MITER ATT&CK®发布了最新一轮年度EDR安全解决方案的评估报告:Carbanak+FIN7 挑战。今年,全球29个网络安全公司的产品参加了测试,它们能够检测出Carbanak和FIN7的攻击。
Carbanak+FIN7简介
Carbanak+FIN7 是臭名昭著的APT金融犯罪集团,他们使用复杂的恶意软件和攻击技术,主要攻击金融机构,造成了一系列严重破坏事件。迄今为止,Carbanak已为30个国家/地区的数百家银行造成了超过3亿美元的损失,而FIN7则从全球受害者手中窃取了超过1500万张信用卡记录。
他们在利用创新攻击技术方面享有盛誉。高效的间谍活动和隐身性是他们战略的重中之重,他们严重依赖脚本编写,模糊处理,“隐藏在视线范围内”,在掠夺环境的同时充分利用机器背后的用户。他们还利用独特的攻击工具,涵盖复杂的恶意软件和广泛的系统平台,包括Windows和Linux。
Bitdefender在2019年专门发布了针对Carbanak的研究报告,详细请参阅:Bitdefender-Carbanak研究报告
为什么Mitre ATT&CK®的评估具有很高的价值
Mitre ATT&CK®评估利用了网络安全行业测试中独有的方法。MITER不仅测试了EDR解决方案检测和阻止网络威胁的能力,还精心模拟了复杂攻击的全部行为。MITER要求在评估过程中关闭被测产品的拦截功能。这种方法详细揭示了解决方案中嵌入的各种技术层的功能,可以检测,分析,提供攻击杀伤链的所有阶段/子阶段的遥测和可见性。
广泛的MITER ATT&CK知识库有助于构建测试方法,因为它提供了整个网络安全行业的通用词汇表和一致性。MITRE ATT&CK评估的价值在于能够分析测试解决方案的鲁棒性和完整性。这使得该测试对于不仅对自动阻止攻击能力感兴趣的组织,而且对于希望在整个执行阶段抵抗高级攻击的组织都非常有意义。在安全运营中使用MITRE的方法可以极大地增强组织的网络弹性,并提高网络防御者发现和收集对敌活动有价值的见解的机会。
如何使用MITER ATT&CK报告来指导您的网络安全决策?
MITER评估的一个不寻常的特征是没有竞争性排名,从而导致各种解释,使得普通用户很难理解测试结果。总体而言,MITRE ATT&CK评估结果包含如下几个关键指标:
检测 - 可以用来识别对手行为的任何原始或处理信息。此度量标准包括原始遥测(例如“进程启动”或“文件创建”)和分析检测(例如“常规检测”,“战术”或“攻击技术”)。检测计数代表所有类型的检测总数。请注意,攻击中包含的174个子步骤中的任何一个都可以具有多个检测(因此,“检测”的总数可以超过子步骤的数量)。
遥测覆盖 - 可以进行遥测的子步骤数。
分析 - 任何经过处理的检测,例如应用于遥测的规则或逻辑(例如ATT&CK技术映射或警报描述)。
分析覆盖率 - 1个或多个分析可用的子步骤数。
可见性 - 可以进行分析或遥测的子步骤数。
Mitre ATT&CK® Carbanak+FIN7 评估结果
- 检测排行,Bitdefender以366的检测排名第一
- 分析覆盖排行
- 遥测覆盖排行
- 可见性排行
Mitre ATT&CK® Carbanak+FIN7挑战—中国市场EDR产品结果汇总
由于很多EDR产品在中国市场上没有销售,因此单独为中国市场销售的EDR产品做排行对比。而亚信安全的EDR属于OEM产品,不等于TrendMicro的原装产品,产品具有很大差异性,因此亚信安全的结果不统计在如下图片中。
EDR评估排行:Bitdefender > Symantec > McAfee
指标解读—哪些指标与您的组织相关?
接下来,您将要了解与您最相关的指标。通常,检测与任何组织都息息相关,因为解决方案能够检测到的攻击元素越多,其有效性就越高。
在拥有安全运营中心(SOC)的组织中,遥测覆盖是一项有价值的度量标准,在安全运营中心中,存在用于进一步分析原始信息的工具,资源和专有技术。
分析覆盖指标为检测提供了上下文。可行的分析有助于降低警报疲劳的风险,并降低安全分析师所需的调查工作。对于资源受限的IT和安全运营团队的组织而言,这使得分析覆盖成为极有价值的指标。
可见性是原始检测(遥测覆盖)和上下文警报(分析覆盖)的组合,可提供解决方案提供攻击元素可见性能力的一般视图。
总结
在参加MITER ATT&CK评估的29家网络安全厂商中,BitDefender 以366的检测排名第一,检测到100%的针对Linux系统的攻击技术,检测次数最多,可检测范围最广的网络威胁,其检测数量比Symantec检测数量高出近50%。
Bitdefender还提供了优秀的分析洞察力来实现有效的安全操作并减少警报疲劳,在测试中脱颖而出。 其他许多供应商在没有附加上下文的情况下生成的大量遥测数据,将给安全团队的调查工作带来更大的负担和工作量。
此次的测试结果充分证明了Bitdefender EDR顶级的安全能力,Bitdefender EDR安全平台是中大型企业的最佳选择。
阅读完整的评估报告:
https://attackevals.mitre-engenuity.org/enterprise/carbanak_fin7/
好文章,需要你的鼓励
来自香港科技大学和MiniMax的研究团队开发了SynLogic,一个可合成35种逻辑推理任务的框架与数据集,填补了AI逻辑训练资源缺口。研究表明,在SynLogic上进行强化学习训练显著提升了模型逻辑推理能力,32B模型在BBEH测试中超越了DeepSeek-R1-Distill模型6个百分点。更值得注意的是,将SynLogic与数学和编程数据混合训练不仅提高了这些领域的学习效率,还增强了模型的泛化能力,表明逻辑推理是构建通用AI推理能力的重要基础。
这项研究揭示了大型语言模型的惊人能力:只需两个特殊训练的向量,冻结的语言模型就能在一次计算中生成数百个准确词汇,而非传统的逐词生成。研究者发现,这种能力要求特定的输入排列方式,且生成速度比自回归方法快约279倍。这一发现不仅展示了语言模型未被充分探索的并行生成潜力,还为快速文本重建开辟了新方向。
腾讯混元团队提出的"ConciseR"是一种通过两阶段强化学习实现大模型简洁推理的新方法。研究遵循"先走后跑"原则,先确保模型具备准确推理能力,再优化输出简洁性。第一阶段通过改进的群体相对策略优化(GRPO++)提升推理能力,第二阶段通过长度感知的群体相对策略优化(L-GRPO)减少输出长度。实验结果显示,该方法在AIME、MATH-500等多个基准测试中既减少了输出长度(平均20%以上),又保持或提高了准确率,展现出高效率-高准确率的理想平衡。
这项由香港科技大学团队开展的研究首次全面评估了压缩对大语言模型Agent能力的影响。研究发现,虽然4位量化能较好地保留工作流生成和工具使用能力(仅下降1%-3%),但在实际应用中性能下降达10%-15%。团队提出的ACBench基准测试横跨工具使用、工作流生成、长文本理解和实际应用四大能力,评估了不同压缩方法对15种模型的影响。结果显示,AWQ量化效果最佳,蒸馏模型在Agent任务上表现不佳,大型模型对压缩更具韧性。研究还提出ERank等创新分析方法,为实际部署提供了切实指导。