微軟認(rèn)為：在安全產(chǎn)品組合中必須內(nèi)置由 AI 驅(qū)動(dòng)的智能系統(tǒng)，以提供用戶開箱即用的保護(hù)。我們的產(chǎn)品應(yīng)該盡可能減少復(fù)雜的配置或手動(dòng)定制設(shè)置，即可進(jìn)行檢測(cè)和保護(hù)。并且必須對(duì)報(bào)警提示進(jìn)行優(yōu)化，面對(duì)海量的報(bào)警提示往往是造成企業(yè)安全團(tuán)隊(duì)無從下手的主要原因。

　　MITRE Engenuity ATT&CK 評(píng)估是全球網(wǎng)絡(luò)安全行業(yè)頭部公司的實(shí)戰(zhàn)大比武，以 APT 組織 FIN7 加 Carbanak 所采用的攻擊技術(shù)為測(cè)試目標(biāo)，評(píng)估中包括對(duì)整個(gè)攻擊鏈中超過174個(gè)步驟的安全檢測(cè)和保護(hù)，除了包含 Windows 客戶端、Windows 服務(wù)器之外，也第一次引入了 Linux 系統(tǒng)設(shè)備。是以 APT 組織所采用的實(shí)際 APT 攻擊技術(shù)進(jìn)行實(shí)戰(zhàn)、驗(yàn)證安全解決方案的安全監(jiān)測(cè)與防護(hù)能力的評(píng)估。

　　在今年的評(píng)估中，我們的 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 方面提供了市場(chǎng)領(lǐng)先的安全防護(hù)能力，可以為我們的用戶提供：

　　我們?cè)?ATT&CK 評(píng)估中的操作與在客戶環(huán)境中是完全一樣的，可以通過自動(dòng) AI 和行為算法提供開箱即用的防護(hù)能力和檢測(cè)功能。不需要特殊的復(fù)雜操作，也不存在任何防護(hù)性能的差距。雖然檢測(cè)性能是此次評(píng)估的主要衡量標(biāo)準(zhǔn)，但是攻擊活動(dòng)——包括警報(bào)、技術(shù)和受影響的資產(chǎn)——是如何被關(guān)聯(lián)到一起，成為一個(gè)連貫的端到端攻擊事件同樣重要。對(duì)于安全團(tuán)隊(duì)來說，幫助 SOC 分析師高效地調(diào)查和應(yīng)對(duì)各種高級(jí)攻擊是至關(guān)重要的。

　　跨 Microsoft 365 Defender 的協(xié)調(diào)檢測(cè)和可見性與自動(dòng)化、優(yōu)先級(jí)和預(yù)防相結(jié)合，是阻止這些高級(jí)攻擊的關(guān)鍵

　　今年的 MITRE Engenuity Carbanak+FIN7 評(píng)估提供了一個(gè)新的基準(zhǔn)：衡量參與者是否能夠防止高級(jí)攻擊。我們認(rèn)為，授權(quán)保護(hù)不僅僅是對(duì)攻擊的認(rèn)識(shí)；防止攻擊才是成功保護(hù)客戶企業(yè)安全的關(guān)鍵。

　　如下圖所示，我們?cè)诿看螠y(cè)試的最早階段都成功介入并阻止了模擬攻擊，處于保護(hù)測(cè)試功能的頂部。Microsoft Defender for Endpoint 會(huì)在模擬攻擊中進(jìn)行精確攔截和主動(dòng)報(bào)警，提供了一個(gè)清晰的攻擊被阻止的企業(yè)安全風(fēng)險(xiǎn)事件。

 

　　▲各廠商在最早階段阻止攻擊的次數(shù)。微軟在六次防護(hù)測(cè)試中成功地在最早的時(shí)間點(diǎn)上攔截并化解了攻擊。

　　Microsoft Defender for Endpoint 在各種平臺(tái)上提供開箱即用的全面可視性、防護(hù)能力和檢測(cè)功能，包括 macOS、多種 Linux 版本、Android 和 iOS 搭載多種系統(tǒng)的設(shè)備。

　　今年，MITRE Engenuity 強(qiáng)調(diào)了跨平臺(tái)保護(hù)的重要性，包括對(duì) Linux 文件服務(wù)器的攻擊，包括系統(tǒng)發(fā)現(xiàn)、數(shù)據(jù)收集以及使用遠(yuǎn)程服務(wù)或哈希傳遞攻擊（pass-the-hash）在 Windows 和 Linux 之間的橫向移動(dòng)等多種高級(jí)技術(shù)，還模擬了針對(duì) Linux 平臺(tái)的保護(hù)測(cè)試。

　　我們?cè)?Linux 的所有攻擊步驟中都獲得了最好的覆蓋結(jié)果。如下圖所示，Microsoft Defender for Endpoint 對(duì)模擬的 Linux 攻擊技術(shù)實(shí)現(xiàn)了100%的檢測(cè)。在保護(hù)測(cè)試中，在執(zhí)行的第一階段就阻止了攻 擊，使微軟成為 Linux 保護(hù)和檢測(cè)的四大廠商之一。

　

　圖片▲在 Linux 上執(zhí)行的模擬攻擊步驟，每一列代表各安全廠商檢測(cè)到的風(fēng)險(xiǎn)數(shù)量。在攻擊最早的階段便介入阻止攻擊的廠商用淺藍(lán)色表示。

　　在故意關(guān)閉保護(hù)功能的測(cè)試中，微軟在所有20個(gè)測(cè)試的攻擊階段和不同的平臺(tái)上顯示了卓越的覆蓋深度和可視性。提供了87％的測(cè)試技術(shù)覆蓋率，代表了整個(gè)攻擊鏈的端到端檢測(cè)。

 

　　圖片▲各廠商的總檢測(cè)計(jì)數(shù)，顯示了 Microsoft 領(lǐng)先的安全檢測(cè)功能。我們還可以將所有報(bào)警信號(hào)關(guān)聯(lián)為兩個(gè)事件 （代表不同的攻擊），從而優(yōu)化了報(bào)警信息的數(shù)量確保企業(yè)安全團(tuán)隊(duì)能夠更加直觀高效地調(diào)查攻擊行為。

　　在信息安全威脅日益復(fù)雜的時(shí)代，企業(yè)對(duì)于企業(yè)級(jí)安全產(chǎn)品及服務(wù)的需求急劇增加，以幫助企業(yè)保護(hù)電子郵件、數(shù)據(jù)、設(shè)備和用戶身份安全，抵御不斷增加且破壞性越來越大的網(wǎng)絡(luò)威脅風(fēng)險(xiǎn)，并逐步提高內(nèi)部信息安全。橫向移動(dòng)攻擊就是其中一個(gè)典型的例子，黑客會(huì)在被攻擊的環(huán)境移動(dòng)以達(dá)到獲得寶貴信息及造成最大損害為目標(biāo)。安全軟件的偵測(cè)及跟蹤橫向移動(dòng)是攻擊調(diào)查和移除威脅的重要一環(huán)。

　　運(yùn)用 Microsoft Defender for Identity 監(jiān)視并分析網(wǎng)絡(luò)中的用戶活動(dòng)和信息（例如權(quán)限和組成員身 份）。然后，Microsoft Defender for Identity 通過自適應(yīng)內(nèi)置智能識(shí)別異常情況，讓公司深入了解可疑活動(dòng)和事件、揭示公司面臨的高級(jí)威脅、用戶侵害和內(nèi)部威脅。Microsoft Defender for Identity 的專有傳感 器監(jiān)視組織域控制器，提供每個(gè)設(shè)備中所有用戶活動(dòng)的全面視圖。此外，Microsoft Defender for Identity 為企業(yè) IT 人員提供有關(guān)身份配置和建議的最佳安全方案和見解。通過安全報(bào)告和用戶配置文件分析， Microsoft Defender for Identity 可以顯著減少攻擊面，使入侵用戶憑據(jù)和推進(jìn)攻擊更加艱難。Microsoft Defender for Identity 的可視橫向移動(dòng)路徑有助于快速準(zhǔn)確地了解攻擊者如何在公司內(nèi)橫向移動(dòng)來入侵敏感帳戶，并協(xié)助提前預(yù)防這些風(fēng)險(xiǎn)。Microsoft Defender for Identity 安全報(bào)告有助于識(shí)別使用明文密碼進(jìn)行身份驗(yàn)證的用戶和設(shè)備，提供其他見解以改善安全狀況和策略。

　　Microsoft Defender for Office 365 是基于云的信息安全服務(wù)，可幫助企業(yè)抵御垃圾郵件和惡意軟件。當(dāng)傳入的郵件進(jìn)入 Exchange Online 時(shí)，它最初通過連接篩選，檢查發(fā)件人信譽(yù)。大多數(shù)垃圾郵件在此時(shí) 即被攔截，并由 Microsoft Defender for Office 365 拒絕。然后，檢查郵件中是否存在惡意軟件的跡象。如果在郵件中找到惡意軟件或附件，郵件路由到“僅管理員”隔離存儲(chǔ)。郵件將繼續(xù)通過策略篩選，并根據(jù)自定義郵件流規(guī)則對(duì)其進(jìn)行評(píng)估。例如，公司可以將規(guī)則設(shè)置為當(dāng)收到來自特定發(fā)件人的郵件時(shí)向管理器發(fā)送通知。接下來，郵件通過內(nèi)容篩選，此篩選器確定為垃圾郵件或網(wǎng)絡(luò)釣魚的郵件可以被發(fā)送到隔離區(qū)或用戶的“垃圾郵件”文件夾中。成功傳遞經(jīng)過所有這些保護(hù)層的任何郵件都將傳遞給收件人。這讓企業(yè)能夠成功防守住郵件安全這道防線。

　　我們發(fā)現(xiàn)企業(yè)安全團(tuán)隊(duì)每天需要面對(duì)大量的安全警報(bào)信息，因此，Microsoft Defender for Endpoint 利用其對(duì)攻擊模式和進(jìn)展的深刻理解，將警報(bào)、遙測(cè)數(shù)據(jù)和受影響的資產(chǎn)關(guān)聯(lián)起來，并將它們歸入一組較小的綜合事件。在這次評(píng)估中，這種關(guān)聯(lián)性導(dǎo)致了兩個(gè)事件，每個(gè)攻擊模擬一個(gè)，將隊(duì)列減少到只有兩個(gè)工作項(xiàng)目需要調(diào)查。被優(yōu)化的綜合事件使 SOC 分析師能夠在一個(gè)綜合的視圖中查看整個(gè)攻擊范圍，包括所有警報(bào)、阻斷行動(dòng)和所有支持證據(jù)。

　　這種跨平臺(tái)、復(fù)雜的攻擊模擬極大地提高了檢測(cè)和保護(hù)的難度和有效性。我們很自豪地宣布，在本次評(píng)估中 Microsoft Defender for Endpoint 取得了極為優(yōu)異的成績，并在每個(gè)主要攻擊階段都有效地檢測(cè)和阻止了惡意攻擊行為。在最終的成績報(bào)告中，Microsoft Defender for Endpoint 的成績超越了 Symantec、McAfee、FireEye、CrowdStrike 等一眾傳統(tǒng)大牌安全廠商，與 BitDefender 不相伯仲。

　　在 MITRE Engenuity 最近的 Carbanak + FIN7 ATT＆CK 評(píng)估中所使用的 Microsoft Defender 未經(jīng)過任何特殊優(yōu)化和調(diào)試配置，與用戶部署到生產(chǎn)環(huán)境中完全相同。通過警報(bào)的覆蓋范圍、準(zhǔn)確性、可見性和調(diào)查經(jīng)驗(yàn)級(jí)別在評(píng)估中的結(jié)果再次證明了我們可以使用行業(yè)領(lǐng)先的安全防御能力來阻止各種高級(jí)攻擊技術(shù)進(jìn)行的真實(shí)的攻擊。

　　“我們認(rèn)為：在安全產(chǎn)品組合中必須內(nèi)置由 AI 驅(qū)動(dòng)的智能系統(tǒng)，為提供用戶開箱即用的保護(hù)。我們的產(chǎn)品應(yīng)該盡可能減少復(fù)雜的配置或手動(dòng)定制設(shè)置，即可進(jìn)行檢測(cè)和保護(hù)。并且必須對(duì)報(bào)警提示進(jìn)行優(yōu)化，面對(duì)海量的報(bào)警提示往往是造成企業(yè)安全團(tuán)隊(duì)無從下手的主要原因。”

　　隨著攻擊面幾乎每天都在演變，攻擊者也持續(xù)創(chuàng)造更先進(jìn)的攻擊技術(shù)，針對(duì)不同的領(lǐng)域，如端點(diǎn)、身份、電子郵件、文件和云應(yīng)用程序。這要求安全解決方案有能力自動(dòng)分析這些領(lǐng)域的威脅數(shù)據(jù)，并建立一個(gè)完整的攻擊防護(hù)面。

　　通過微軟自身強(qiáng)大的安全大數(shù)據(jù)和安全情報(bào)分析能力，結(jié)合微軟全球第一流的安全解決方案，我們有信心持續(xù)守護(hù)企業(yè)的數(shù)字資產(chǎn)安全。