查看: 2977|回复: 12
收起左侧

[分享] EDR很拉跨的八个理由——Deepinstinct荣誉出品

[复制链接]
呵呵大神001
发表于 2023-1-19 20:04:39 | 显示全部楼层 |阅读模式
本帖最后由 呵呵大神001 于 2023-1-19 20:26 编辑

Stop Responding. Start Preventing?



*本文部分引用deepinstinct公司官网文档
Deep Instinct是一家将深度学习应用于网络安全的网络安全公司。该公司使用先进的人工智能来预防和检测恶意软件。也就是我们所说的NGAV厂

但是,和许多NGAV厂不同的是,Deep Instinct似乎并不打算推出EDR类产品,并且他们认为他们还不是普通的Next-gen antivirus。因为DI使用的是深度学习!




我们是Double next generation antivirus!

不仅如此,DI还把EDR批判了一番!即使他们也用类似的产品参加了ATT&CK® Evaluations的测试

以下是DI批判EDR的八个理由




1."假设违规"的心态是有问题的

2.EDR是一种补救措施

3.EDR不能解决勒索软件(Crowdstrike:你说的对)

4.EDR导致了很多误报

5.采用机器学习的EDR有可以利用的弱点

6.EDR 的好坏取决于它在每个端点的可见性。

7.EDR只作用在感染发生后,而无法提前阻止感染

8.XDR让EDR变的更加垃圾(低效)

DI还锐评了ATT&CK® Evaluations的测试

首先他们定义了自己

“Deep Instinct is not an EDR, nor do we claim to be. Our focus is on earlier prevention of unknown threats,  pre-execution, to lessen the need for post-compromise detection and response.”


我们不是EDR厂!我们做的不是EDR!我们专注于执行前预防!

Given that the MITRE ATT&CKframework is publicly available, this gives vendorstime to prepare before the evaluations based onthe actions a specific threat actor is known totake. You would not have the benefit of this timeto prepare the tool in your environment.”


即由于测试所模拟的APT团队所采用的MITRE ATT&CK战术是已知的,EDR安全厂商可以通过临时修改设置和针对性更新检测模型来获得更好的测试效果,俗称:跑分软件。此处@某台湾大厂

”MITRE does not measure the length of time it takes to prevent or detect a threat. Most vendors check the cloud for threat intelligence feeds, policies and rules, causing latency.“


MITRE不规定EDR厂商从入侵发生到检测到威胁所用的时间,而我们DI很牛逼,用深度学习可以在未知文件出现的20ms内判断它是否是恶意的。其他供应商需要把EDR数据与云中已知的威胁情报做对比才能产生检测警报。

“If you look at the detailed MITRE results, you will see that Deep Instinct prevented a file once we knew the file was malicious or the behavior was malicious - not because the file may have looked like a risk. This significantly lowers the false positive rate.The MITRE evaluation did not impose a penalty for false positives.”


DI不会因为一个VB脚本打开winword.exe就生成一个警报,因为这会增加实际场景中的误报,MITRE没有对误报进行扣分(因此跑分软件可以把自己的警报阈值调的很低)

“In addition, over 93% of Deep Instinct's detections were at an analytic level (beyond simple telemetry), with 92% being at the highest detection level and technique. This attests to the high level of context, correlation, and actionability of the events and data presented to the user, reducing time, manual threat hunting, and analysis resources.”


最后,我们滴EDR信噪比非常高!不像某些EDR厂生成了一堆遥测然后吹自己检测覆盖多

附上DI的mitre的测试结果,请自行评判好坏,怎么看—>看懂mitre-engenuity



大家觉得DI说的有道理吗?还是纯粹的“人不行怪路不平”?

那么,DI吹的那么神的“NGNGAV”究竟如何?答案很快就会揭晓,敬请期待!






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4人气 +6 收起 理由
带刀侍卫 + 1 公司理念不错
Picca + 1
ccddqq + 1 那个文档一点都不走心,界面直接机翻+截图
隔山打空气 + 3 神马都是浮云

查看全部评分

AEht
发表于 2023-1-19 22:35:36 | 显示全部楼层
我甚至都没听说过这个杀软
ccddqq
发表于 2023-1-19 23:04:34 | 显示全部楼层
AEht 发表于 2023-1-19 22:35
我甚至都没听说过这个杀软

毕竟是面向企业的,普通消费者不认识也正常
神龟Turmi
发表于 2023-1-19 23:18:03 | 显示全部楼层
AEht 发表于 2023-1-19 22:35
我甚至都没听说过这个杀软

英伟达投资的以色列公司
HP Sure Sense用的他们的引擎
Picca
发表于 2023-1-20 15:41:40 | 显示全部楼层
搜了一下selabs的测评,作为NGAV厂商(bushi),感觉这个检测率还是有点东西的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hsks
发表于 2023-1-20 18:51:30 | 显示全部楼层
呵呵大神001
 楼主| 发表于 2023-1-20 19:51:00 | 显示全部楼层
jemmy8288
发表于 2023-1-23 16:39:36 | 显示全部楼层
完全看不懂
JAYSIR
发表于 7 天前 | 显示全部楼层
本帖最后由 JAYSIR 于 2023-1-25 11:43 编辑

感觉有的蹭deep mind的流量
DL确实很强大,但也是基于过去的代码特征,感觉一些特殊的方法很有可能绕过。针对性的攻击反而更危险。
比如,深度对抗攻击。
另外老电脑的性能可能表现很差,需要一些特殊指令集支持,比如avx2,和现有方法结合还是不错的。

jemmy8288
发表于 7 天前 | 显示全部楼层
完全看不懂
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2023-2-1 04:39 , Processed in 0.178216 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表