最后更新于2023年7月26日星期三21:05:14 GMT
每个托管服务组织都声称他们拥有有效检测和响应威胁的专业知识和技术. But can they prove it?
有了第一个结果,评估这些服务以及它们在现实场景中的表现变得更加容易 MITRE ATT&CK Evaluations for Managed Services.
Rapid7 MDR 很高兴参加这次首次评估吗, 以及其他16个托管服务提供商. 我们每天都代表我们的客户与对手作战, 但这些工作大部分都是不为人知的. 这次评估是向更广泛的受众展示早期发现的机会, accelerated action, 以及Rapid7的深度合作关系 MDR solution 每天为全球客户提供服务.
And the results speak for themselves.
Rapid7报告了所有10个ATT的恶意活动&CK Evaluation steps
Rapid7 MDR在这些步骤中报告了74种攻击者“技术”中的63种, 准确地描述了漏洞的全部范围和影响,同时保持了每个人都期望的Rapid7的高信噪比.
该评估提供了与Rapid7实际接触的可见性. 我们的团队提供给MITRE Engenuity的不是“特殊”待遇, 而是资源的展示, experience, 以及我们为所有客户带来的技术,作为 unlimited incident response service included with Rapid7 MDR.
Here are other highlights:
可靠,早期检测:我们停止了OilRig (a).k.a. APT34) at the starting line
攻击以一种熟悉的方式开始:使用网络钓鱼电子邮件来丢弃恶意有效负载,并在毫无戒心的用户的工作站上建立持久性. With a foothold in the environment, 攻击者执行发现操作并转储用户凭据, 在跨组织横向移动并最终收集和泄露敏感数据之前.
Rapid7 MDR识别了攻击的第一步, 通知MITRE关于初始恶意负载的下载和执行,并提供控制威胁的建议操作. 如果这是一个“真实世界”的客户事件,攻击就会停止在这里.
Comprehensive coverage across kill chain
As the attack was allowed to continue, 我们的团队继续识别并向MITRE Engenuity报告了入侵的所有主要步骤——从发现和凭证转储到Web shell安装, data staging, data exfiltration, and cleanup.
Robust, actionable reporting
评价还强调全面的报告, robust communications, detailed timelines, 以及Rapid7 MDR客户接受的深入法医调查. 在会谈结束时,我们提交了一份全面的 40 page incident report 详细描述了入侵的全部范围和影响,并将该活动归因于APT组织 OilRig这是一个与伊朗有关联的黑客组织,以攻击关键基础设施而闻名.
耐多药使环境比我们发现时更好
虽然控制超出了本次评估的范围, 您将看到Rapid7一路上提供了详细的响应和缓解建议. 而其他托管服务则把工作交给了客户,让他们找出如何解决事件并加强其安全性,以防止将来发生类似事件, Rapid7提供此指导,并与客户合作以确保这些建议得到实施. 我们提供端到端检测和响应程序.
Finally, what the MITRE ATT&CK Evaluation doesn’t show you
这里报道的只是Rapid7 MDR的一部分.
虽然这个评估主要以终点为中心, 我们的客户得到完整的覆盖:端点, network, users, cloud, and more. 随着攻击面越来越复杂, you need a real MDR partner, scaling with your business, driving the end-to-end results, 领先于最先进的攻击, 作为团队的无缝延伸.
我们的许多差异,包括集成的DFIR,加起来.
To learn more about our evaluation, join our webcast.
