随着网络攻击数量和复杂性的不断增加，以及网络安全技能差距的扩大，许多组织开始依赖托管检测与响应（MDR）服务。然而，找到合适的MDR供应商依然是一个重大挑战。

主要面临的挑战包括：

1. 威胁应对能力：MDR供应商是否具备应对当今复杂网络威胁的技术和策略。

2. 技术与工具：供应商使用的检测和响应工具是否先进，能否快速识别和应对威胁。

3. 专家团队：供应商是否拥有经验丰富的网络安全专家团队，能够提供及时和有效的支持。

4. 服务质量：供应商的服务是否稳定可靠，能否在紧急情况下快速响应并解决问题。

5. 客户评价：现有客户的评价和反馈能否证明供应商的服务质量和专业能力。

6. 合规性：供应商是否遵循相关的安全和隐私法规，确保数据的安全和合规。

MITRE ATT&CK® 最近对11家全球顶级的MDR供应商服务进行了深入评估，其中包括Bitdefender。接下来，我们将分享这些评估报告，帮助您为您的网络安全需求做出最佳决策。

MITRE ATT&CK® 2024 MDR评估深度解读

今年的MITRE Engenuity ATT&CK® 评估采用了多线程攻击来评估每个参与供应商的表现。评估的攻击场景包括两个主要部分：

1. menuPass攻击模拟：

• 攻击战术与技术：首先，评估模拟了网络犯罪组织menuPass的攻击战术和技术。这个组织以窃取敏感信息（如知识产权）为目标，针对全球各行业。

• 规避检测技术：menuPass攻击以利用现成工具（living-off-the-land）来规避检测为特征，并通过第三方关系窃取凭证。

2. BlackCat勒索软件攻击：

• 多平台攻击：第二个模拟场景使用了用RUST语言编写的BlackCat勒索软件。该勒索软件不依赖操作系统，能够针对Windows和Linux系统，覆盖多个行业。

• 破坏与阻挠：BlackCat设计用于破坏系统防御、加密数据，并阻挠恢复过程。

这两个场景都充分代表了现代企业所面临的攻击类型。通过这些模拟，MITRE ATT&CK® 评估能够为组织提供关于各供应商在应对复杂网络威胁方面的宝贵洞察，帮助他们做出更明智的安全决策。

MITRE ATT&CK® 2024 MDR评估结果解读

在这里，我们将解读评估中的关键指标，并解释它们对您的意义。我们还将探讨一些定性方面，比如报告风格，这些可以从MITRE提供的供应商沟通中获取。这种方法将帮助您理解我们的表现如何与您的具体安全需求相匹配。

MITRE评估通过一系列43个子步骤评估供应商的MDR解决方案，这些子步骤代表了攻击者战术和技术的不同阶段。每个子步骤有三个关键衡量标准：

1. 可见性：

• 定义：这衡量供应商的解决方案是否能够收集足够的数据来识别特定的子步骤是否发生。基本上是测试平台能否“看到”攻击者的活动。

• Bitdefender成绩：Bitdefender在可见性方面达到了100%的覆盖率，这表明我们的解决方案能够有效地收集数据，识别攻击者战术和技术中的所有43个子步骤。这是一个强有力的表现，展示了我们平台在整个评估范围内“看到”攻击者活动的能力。

2. 报告（不可操作）：

• 定义：此评估不仅检测活动，还检查供应商是否能够识别并报告子步骤。然而，此报告可能缺乏具体细节或上下文，使得难以立即采取行动。

• Bitdefender成绩：Bitdefender的覆盖率达到了95%，超过了平均80%的覆盖率。这意味着我们的解决方案不仅能识别大多数子步骤（41个中的43个），还能够报告这些步骤。虽然这些报告可能缺乏具体细节，但它突显了我们在检测可疑活动方面的优势。

3. 报告（可操作）：

• 定义：这是理想情况。供应商不仅检测并报告子步骤，还提供额外信息，如时间戳、位置、相关用户及活动性质。这种更丰富的上下文允许更知情和有效的响应。

• Bitdefender成绩：Bitdefender在“可操作报告”方面的覆盖率达到了93%，远高于平均65%的覆盖率。这一得分表明我们在不仅检测和报告子步骤，还提供最有价值的上下文信息方面表现卓越，包括时间戳、位置、相关用户及活动性质。这使您的安全团队能够迅速果断地采取行动以减轻威胁。

在建立了我们在检测攻击者活动方面的坚实基础后，接下来我们将探讨我们如何有效地将检测转化为行动。这就是“平均检测时间（MTTD）”的作用所在。

4. MTTD 平均响应时间：

• 定义：平均检测时间（MTTD）衡量了安全提供商识别和警告潜在攻击者活动所需的平均时间。较低的MTTD通常表示更快的检测和响应能力。

• Bitdefender成绩：Bitdefender的平均MTTD为24分钟，远远快于42分钟的平均响应时间。

5. 告警与噪音：

• 定义：任何MDR解决方案的关键方面是其区分真实威胁和不相关噪音的能力。安全团队经常会收到大量警报，使其难以专注于最关键的问题。

• Bitdefender成绩在MITRE MDR评估中，Bitdefender MDR团队优先考虑了在最小化噪音和保持高警报保真度之间寻找平衡。虽然一些供应商产生了数百甚至数千个警报，但与行业平均水平相比，Bitdefender MDR产生的警报数量显著较低（130封电子邮件和389个控制台警报）。

这对您意味着什么：

• 减少警报疲劳：我们的解决方案通过呈现较少量的警报（54封电子邮件和28个控制台警报）帮助安全团队避免信息过载。这使他们能够将注意力集中在最重要的威胁上。

• 优先处理高严重性事件：我们对保真度的关注确保我们的警报中有很大一部分（77%的电子邮件）被分类为关键或高严重性，确保安全团队可以优先处理最有影响力的威胁。

• 可操作的见解：数量并不等同于质量。我们优先提供每个警报内清晰简洁的信息，赋予安全团队采取果断行动以减轻已识别威胁的能力。

结 论

MITRE 的 MDR评估展示了Bitdefender MDR的优势：强大的威胁检测、可操作的见解，以及最小化警报疲劳的承诺。这意味着我们提供了一种强大的解决方案，使安全团队能够专注于最重要的事情 - 有效应对真实威胁，保障组织安全。

Bitdefender MDR 在保持噪音最低的同时达到了最高的可操作性得分

攻防演练季，欢迎体验 Bitdefender EDR/XDR/CWPP/CSPM解决方案

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法