查看: 4036|回复: 6
收起左侧

[其他相关] 新兴技术介绍1.5 看懂mitre-engenuity

[复制链接]
呵呵大神001
发表于 2022-2-23 23:44:12 | 显示全部楼层 |阅读模式
本帖最后由 呵呵大神001 于 2022-2-23 23:51 编辑

0.注意事项
此文部分参考kaspersky官方blog,并非全部原创
mitre-engenuity并不会给EDR软件排名,只会公布测试结果,mitre公司不认可厂商自己根据mitre测试结果的排名
也就是说厂商可以选择自己表现最好的领域狂吹自己领先同行
因此本人写此文是想帮助饭友客观对比各edr产品的表现,不要被厂商瞎忽悠走了
毕竟这种产品也要不少钱呢
1.mitre-engenuity是什么?
是mitre公司自己做的测试,mitre公司是发明ATT&CK框架的公司
mitre公司会使用各种测试方法(事件、组、恶意软件投放等),来测试EDR的性能
如果一个EDR能在测试中获得更好的mitre检测框架的覆盖程度
payload每一个恶意行为都可以正确的映射到ATT&CK框架
提供更多有关ATT&CK知识库的知识(如缓解措施,以及这个可疑行为的更多知识)
则可以认为这个EDR的性能是极好的
在测试期间,不允许安全产品在攻击的任何阶段采取任何预防/补救措施,所以纯测edr性能
2.让我们开始吧
(1)总体测评
首先需要选择一个企业的页面
https://attackevals.mitre-engenu ... rsary=carbanak_fin7
以微软为例子,下文同


选择测试轮数,这里选择的轮数决定了Results Graphs区域给出的图表是哪一轮的
这里比较推荐选最新的测试,可以更好的体现出EDR产品近期性能注:carbank+fin7要测两次,就是模拟两种不同的apt组织的攻击(但有人说carbank和fin7是一个组织,不重要)
向下拉找到Results Graphs区,我们从第一个操作杆图(可以理解为总成绩)开始分析。

左边是模拟carbank攻击的测试,右边是模拟fin7攻击的测试
mitre的测试是分步骤的,先看横坐标,最左边是先开始的测试,最右边是最后的测试
“无”和“遥测”是“最低”结果,以两种蓝色表示。“无”意味着产品根本没有注意到可疑行为,而“遥测”意味着收集了一些数据,但没有应用检测逻辑,并且事件没有被标记(恶意或其他)。所以,基本上,“遥测”不是真正的检测——只是一个事件日志。真正的检测由黄色和绿色阴影中的其他四个类别表示:“MSSP”、“General”、“Tactic”和“Technique”(这四个就是对可疑行为的分类,咱们可以不用管,注意,遥测和这四个检测是可以同时发生的)

在图表上仅显示“无”或“遥测”蓝色的步骤,和只有黄色没有对应的四个检测(一会会讲),我们可以称之为错过步骤- 没有进行真正检测的攻击阶段。
也就是说蓝色越少越好,在操作杆图中,你只需要关注蓝色
往下滑就可以找到分布检测场景图,可以理解为考试的“分数条”,可以看到各个步骤的检测情况

相信大家已经具备一定的EDR测评结果自主判断能力了
(2)对比测评
明天更新

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +7 收起 理由
761773275 + 1 没看懂
HEMM + 3 没看懂
Picca + 3 版区有你更精彩: )

查看全部评分

Picca
发表于 2022-2-26 20:58:59 | 显示全部楼层
payload每个恶意行为都必须正确的映射到ATT&CK框架,才会有得分。感觉这玩意在给业界定标准啊,会不会出现EDR拦截率很高,但是没有参考这个框架,得分很低的情况呢?
呵呵大神001
 楼主| 发表于 2022-2-27 11:14:47 | 显示全部楼层
Picca 发表于 2022-2-26 20:58
payload每个恶意行为都必须正确的映射到ATT&CK框架,才会有得分。感觉这玩意在给业界定标准啊,会不 ...

有可能,Kaspersky就是
Picca
发表于 2022-2-27 12:24:27 | 显示全部楼层
呵呵大神001 发表于 2022-2-27 11:14
有可能,Kaspersky就是

哈哈哈,怪不得attackevals.mitre-engenuity官网上没看到卡巴的图标,根本不参加
呵呵大神001
 楼主| 发表于 2022-2-27 13:26:42 | 显示全部楼层
Picca 发表于 2022-2-27 12:24
哈哈哈,怪不得attackevals.mitre-engenuity官网上没看到卡巴的图标,根本不参加

Kaspersky参加了apt29
参加carbank+fin7时中途退出
Picca
发表于 2022-2-27 17:49:37 | 显示全部楼层
呵呵大神001 发表于 2022-2-27 13:26
Kaspersky参加了apt29
参加carbank+fin7时中途退出

哦哦,看到了,看到了。

赶紧更新你的对比测评啊
呵呵大神001
 楼主| 发表于 2022-2-28 18:52:08 来自手机 | 显示全部楼层
Picca 发表于 2022-2-27 17:49
哦哦,看到了,看到了。

赶紧更新你的对比测评啊

暂时学业事比较多 抱歉哈
我尽快)

评分

参与人数 1人气 +3 收起 理由
Picca + 3 hurry up

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 10:13 , Processed in 0.151492 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表