微軟認為：在安全產(chǎn)品組合中必須內(nèi)置由 AI 驅動的智能系統(tǒng)，以提供用戶開箱即用的保護。我們的產(chǎn)品應該盡可能減少復雜的配置或手動定制設置，即可進行檢測和保護。并且必須對報警提示進行優(yōu)化，面對海量的報警提示往往是造成企業(yè)安全團隊無從下手的主要原因。

　　MITRE Engenuity ATT&CK 評估是全球網(wǎng)絡安全行業(yè)頭部公司的實戰(zhàn)大比武，以 APT 組織 FIN7 加 Carbanak 所采用的攻擊技術為測試目標，評估中包括對整個攻擊鏈中超過174個步驟的安全檢測和保護，除了包含 Windows 客戶端、Windows 服務器之外，也第一次引入了 Linux 系統(tǒng)設備。是以 APT 組織所采用的實際 APT 攻擊技術進行實戰(zhàn)、驗證安全解決方案的安全監(jiān)測與防護能力的評估。

　　在今年的評估中，我們的 Microsoft Defender for Endpoint 和 Microsoft Defender for Identity 方面提供了市場領先的安全防護能力，可以為我們的用戶提供：

　　我們在 ATT&CK 評估中的操作與在客戶環(huán)境中是完全一樣的，可以通過自動 AI 和行為算法提供開箱即用的防護能力和檢測功能。不需要特殊的復雜操作，也不存在任何防護性能的差距。雖然檢測性能是此次評估的主要衡量標準，但是攻擊活動——包括警報、技術和受影響的資產(chǎn)——是如何被關聯(lián)到一起，成為一個連貫的端到端攻擊事件同樣重要。對于安全團隊來說，幫助 SOC 分析師高效地調(diào)查和應對各種高級攻擊是至關重要的。

　　跨 Microsoft 365 Defender 的協(xié)調(diào)檢測和可見性與自動化、優(yōu)先級和預防相結合，是阻止這些高級攻擊的關鍵

　　今年的 MITRE Engenuity Carbanak+FIN7 評估提供了一個新的基準：衡量參與者是否能夠防止高級攻擊。我們認為，授權保護不僅僅是對攻擊的認識；防止攻擊才是成功保護客戶企業(yè)安全的關鍵。

　　如下圖所示，我們在每次測試的最早階段都成功介入并阻止了模擬攻擊，處于保護測試功能的頂部。Microsoft Defender for Endpoint 會在模擬攻擊中進行精確攔截和主動報警，提供了一個清晰的攻擊被阻止的企業(yè)安全風險事件。

 

　　▲各廠商在最早階段阻止攻擊的次數(shù)。微軟在六次防護測試中成功地在最早的時間點上攔截并化解了攻擊。

　　Microsoft Defender for Endpoint 在各種平臺上提供開箱即用的全面可視性、防護能力和檢測功能，包括 macOS、多種 Linux 版本、Android 和 iOS 搭載多種系統(tǒng)的設備。

　　今年，MITRE Engenuity 強調(diào)了跨平臺保護的重要性，包括對 Linux 文件服務器的攻擊，包括系統(tǒng)發(fā)現(xiàn)、數(shù)據(jù)收集以及使用遠程服務或哈希傳遞攻擊（pass-the-hash）在 Windows 和 Linux 之間的橫向移動等多種高級技術，還模擬了針對 Linux 平臺的保護測試。

　　我們在 Linux 的所有攻擊步驟中都獲得了最好的覆蓋結果。如下圖所示，Microsoft Defender for Endpoint 對模擬的 Linux 攻擊技術實現(xiàn)了100%的檢測。在保護測試中，在執(zhí)行的第一階段就阻止了攻 擊，使微軟成為 Linux 保護和檢測的四大廠商之一。

　

　圖片▲在 Linux 上執(zhí)行的模擬攻擊步驟，每一列代表各安全廠商檢測到的風險數(shù)量。在攻擊最早的階段便介入阻止攻擊的廠商用淺藍色表示。

　　在故意關閉保護功能的測試中，微軟在所有20個測試的攻擊階段和不同的平臺上顯示了卓越的覆蓋深度和可視性。提供了87％的測試技術覆蓋率，代表了整個攻擊鏈的端到端檢測。

 

　　圖片▲各廠商的總檢測計數(shù)，顯示了 Microsoft 領先的安全檢測功能。我們還可以將所有報警信號關聯(lián)為兩個事件 （代表不同的攻擊），從而優(yōu)化了報警信息的數(shù)量確保企業(yè)安全團隊能夠更加直觀高效地調(diào)查攻擊行為。

　　在信息安全威脅日益復雜的時代，企業(yè)對于企業(yè)級安全產(chǎn)品及服務的需求急劇增加，以幫助企業(yè)保護電子郵件、數(shù)據(jù)、設備和用戶身份安全，抵御不斷增加且破壞性越來越大的網(wǎng)絡威脅風險，并逐步提高內(nèi)部信息安全。橫向移動攻擊就是其中一個典型的例子，黑客會在被攻擊的環(huán)境移動以達到獲得寶貴信息及造成最大損害為目標。安全軟件的偵測及跟蹤橫向移動是攻擊調(diào)查和移除威脅的重要一環(huán)。

　　運用 Microsoft Defender for Identity 監(jiān)視并分析網(wǎng)絡中的用戶活動和信息（例如權限和組成員身 份）。然后，Microsoft Defender for Identity 通過自適應內(nèi)置智能識別異常情況，讓公司深入了解可疑活動和事件、揭示公司面臨的高級威脅、用戶侵害和內(nèi)部威脅。Microsoft Defender for Identity 的專有傳感 器監(jiān)視組織域控制器，提供每個設備中所有用戶活動的全面視圖。此外，Microsoft Defender for Identity 為企業(yè) IT 人員提供有關身份配置和建議的最佳安全方案和見解。通過安全報告和用戶配置文件分析， Microsoft Defender for Identity 可以顯著減少攻擊面，使入侵用戶憑據(jù)和推進攻擊更加艱難。Microsoft Defender for Identity 的可視橫向移動路徑有助于快速準確地了解攻擊者如何在公司內(nèi)橫向移動來入侵敏感帳戶，并協(xié)助提前預防這些風險。Microsoft Defender for Identity 安全報告有助于識別使用明文密碼進行身份驗證的用戶和設備，提供其他見解以改善安全狀況和策略。

　　Microsoft Defender for Office 365 是基于云的信息安全服務，可幫助企業(yè)抵御垃圾郵件和惡意軟件。當傳入的郵件進入 Exchange Online 時，它最初通過連接篩選，檢查發(fā)件人信譽。大多數(shù)垃圾郵件在此時 即被攔截，并由 Microsoft Defender for Office 365 拒絕。然后，檢查郵件中是否存在惡意軟件的跡象。如果在郵件中找到惡意軟件或附件，郵件路由到“僅管理員”隔離存儲。郵件將繼續(xù)通過策略篩選，并根據(jù)自定義郵件流規(guī)則對其進行評估。例如，公司可以將規(guī)則設置為當收到來自特定發(fā)件人的郵件時向管理器發(fā)送通知。接下來，郵件通過內(nèi)容篩選，此篩選器確定為垃圾郵件或網(wǎng)絡釣魚的郵件可以被發(fā)送到隔離區(qū)或用戶的“垃圾郵件”文件夾中。成功傳遞經(jīng)過所有這些保護層的任何郵件都將傳遞給收件人。這讓企業(yè)能夠成功防守住郵件安全這道防線。

　　我們發(fā)現(xiàn)企業(yè)安全團隊每天需要面對大量的安全警報信息，因此，Microsoft Defender for Endpoint 利用其對攻擊模式和進展的深刻理解，將警報、遙測數(shù)據(jù)和受影響的資產(chǎn)關聯(lián)起來，并將它們歸入一組較小的綜合事件。在這次評估中，這種關聯(lián)性導致了兩個事件，每個攻擊模擬一個，將隊列減少到只有兩個工作項目需要調(diào)查。被優(yōu)化的綜合事件使 SOC 分析師能夠在一個綜合的視圖中查看整個攻擊范圍，包括所有警報、阻斷行動和所有支持證據(jù)。

　　這種跨平臺、復雜的攻擊模擬極大地提高了檢測和保護的難度和有效性。我們很自豪地宣布，在本次評估中 Microsoft Defender for Endpoint 取得了極為優(yōu)異的成績，并在每個主要攻擊階段都有效地檢測和阻止了惡意攻擊行為。在最終的成績報告中，Microsoft Defender for Endpoint 的成績超越了 Symantec、McAfee、FireEye、CrowdStrike 等一眾傳統(tǒng)大牌安全廠商，與 BitDefender 不相伯仲。

　　在 MITRE Engenuity 最近的 Carbanak + FIN7 ATT＆CK 評估中所使用的 Microsoft Defender 未經(jīng)過任何特殊優(yōu)化和調(diào)試配置，與用戶部署到生產(chǎn)環(huán)境中完全相同。通過警報的覆蓋范圍、準確性、可見性和調(diào)查經(jīng)驗級別在評估中的結果再次證明了我們可以使用行業(yè)領先的安全防御能力來阻止各種高級攻擊技術進行的真實的攻擊。

　　“我們認為：在安全產(chǎn)品組合中必須內(nèi)置由 AI 驅動的智能系統(tǒng)，為提供用戶開箱即用的保護。我們的產(chǎn)品應該盡可能減少復雜的配置或手動定制設置，即可進行檢測和保護。并且必須對報警提示進行優(yōu)化，面對海量的報警提示往往是造成企業(yè)安全團隊無從下手的主要原因。”

　　隨著攻擊面幾乎每天都在演變，攻擊者也持續(xù)創(chuàng)造更先進的攻擊技術，針對不同的領域，如端點、身份、電子郵件、文件和云應用程序。這要求安全解決方案有能力自動分析這些領域的威脅數(shù)據(jù)，并建立一個完整的攻擊防護面。

　　通過微軟自身強大的安全大數(shù)據(jù)和安全情報分析能力，結合微軟全球第一流的安全解決方案，我們有信心持續(xù)守護企業(yè)的數(shù)字資產(chǎn)安全。