MITRE评估：提升安全产品的透明度和实用性

关键要点

自2018年起，MITRE开始通过模拟全球顶级威胁行为者的攻击来测试顶级终端安全产品的防御能力。利用MITRE ATTampCK框架，每种产品的表现都在攻击杀链的各个阶段进行分析，结果在MITRE网站上公开，任何人皆可免费查看和使用。

这些评估正式称为MITRE Engenuity ATTampCK评估，简称Evals，让有意引入新安全产品的组织能够了解顶级供应商的表现。近40家厂商参与了Evals，最近一轮的评估中，有30家参与，包括Cisco、CrowdStrike、McAfee、微软及Symantec等。他们的产品面对的是Wizard Spider经济动机攻击和Sandworm国家赞助攻击的模拟。

需要注意的是，MITRE并不对评估结果进行胜负划分，也没有排名系统。MITRE希望潜在的终端安全产品客户能通过评估看到每个产品的工作方式，而不仅仅是其效果。

这对于优秀的首席信息安全官CISO至关重要，因为他们可以通过ATTampCK框架来评估自己组织的安全态势。CISO可以利用每种产品的评估结果来判断哪些产品更适合自己的组织。

作为全球领先的安全提供商之一，Cisco参加了最近两轮的MITRE Engenuity评估，并计划持续参与。Cisco Secure Endpoint首席技术工程师Eric Howard表示，参与的原因“并非完全出于公益”。随着Engenuity评估的范围和影响力不断扩大，顶级供应商参与显得愈发必要。

“单靠参与就能让我们获得一席之地，”Cisco Secure Endpoint项目经理Shyue Hong Chuang说道。“但这也使我们能够阐明产品带给客户的价值。”

这些价值不仅反映了Cisco参与MITRE Engenuity评估的第二个原因。MITRE ATTampCK框架创建了一套公共指南和参考，使安全实践者能够分析攻击、威胁、检测和响应。此外，它也令各组织间的安全实践者能够用统一的语言进行交流。

同样重要的是，MITRE ATTampCK框架为CISO和安全经理提供了可以向公司高管展示的实际、客观的数据。

“许多CISO会请求增加对当前事件或长期安全问题的投资预算，但他们缺乏足够的数据支持这一请求，”资产发现公司Lucidum的联合创始人兼首席执行官Dr Joel Fulton说道。“通过使用MITRE ATTampCK框架作为讨论的指南，CISO能够有效地阐释威胁的严重性和缓解这些威胁所需采取的措施，同时使首席信息官(CIO)能够积极参与其中。”

对于Cisco而言，Engenuity评估扩展了这一共同语言的适用范围。即使CISO的组织并不考虑新安全供应商，CISO仍可以利用Evals结果中基于ATTampCK的对知名威胁行为者杀链的详细分析，来评估他们的安全团队是如何应对这些威胁的。

“这是真实的攻击按照杀链顺序