為提供您更佳的服務,本網站使用 Cookies。當您使用本網站,即表示您同意 Cookies 技術支援。更多資訊請參閱隱私權聲明確定

bg-inner
09 月 22 日 14:45 - 15:15 Blue Team 論壇

為什麼 MITRE 現在要推動 ENGAGE Framework?

MITRE ATT&CK 分析已知的駭客在各個階段的攻擊方法,並提出可行的偵測以及應對的方法。從2018年開始 MITRE 主持了公正獨立的評測,起到了幫助 EDR 技術成熟的效果。從評測的結果來看,EDR 這幾年來有長足的進步,對於測試的攻擊步驟,很多廠商都能達到百分之八十幾,九十幾的覆蓋率,甚至有廠商達到百分之百的覆蓋率。EDR 技術那麼成熟了,那我們是不是就高枕無憂了呢?答案是否定的。原因是 MITRE 的測試是在只有模擬攻擊者,沒有噪聲下進行。在真實環境中使用 EDR 時,員工對電腦和網路的正常使用就成為噪聲,也大量出現在告警中,要在裡面實時抓到駭客的攻擊並不容易,MITRE 形容這是在乾草堆中撈針。對於有明顯駭客特徵的攻擊或是行為序列明顯是惡意,那容易實時就抓到,否則這些告警主要是供事後的調查用。 所以 MITRE 才需要推動 ENGAGE,這種主動防禦的思想是用來和現行犯交戰,在駭客入侵當下,還沒有對企業造成傷害時就明確抓住駭客,而且還能累積交戰的經驗,強化防禦體系,在未來幾年是 MITRE 的工作重點。

LOCATION 臺北南港展覽二館 4F 4B 展區會議室 LEVEL 通識等級 SESSION TYPE 現場演講 LANGUAGE 中文
SESSION TOPIC Breach DetectionAdvanced Threat ProtectionRansomware

SPEAKER

王澄錕 博士
Attivo Networks Technical Consultant

中山科學院研究員,中華電信電信研究所研究員,Cisco(思科系統)亞太區資深技術顧問,Cisco(思科系統)日本區資深技術經理,Cisco(思科系統)大中華區資深解決方案架構師,Attivo Networks 技術顧問。