查看: 12052|回复: 15
收起左侧

[资讯] MITRE ATT&CK 2022年测试结果排名+翻译

[复制链接]
神龟Turmi
发表于 2023-2-16 15:18:30 | 显示全部楼层 |阅读模式
看到卡饭似乎有一些人对EDR还是比较感兴趣的
鉴于MITRE并没有做官方的排名,并且完整的报告也不是那么容易理解
我把MITRE的2022年结果做成了图表,方便对比和排名
以下所有数据均来自
https://attackevals.mitre-engenu ... ard-spider-sandworm
另外,MITRE的2023年测试也已经开始了,考虑到他们测试的周期比常规安全软件测试长得多(例如AVC真实世界),估计这两个月内是看不到2023年的测试结果了

以下是三个指标的翻译 翻译内容全部来自MITRE官网或博客 批注内容为本人为方便理解而加入的通俗理解:

Analytic Coverage(分析范围):具有富含分析逻辑的检测的子步骤的比例(例如至少有一个一般、战术或技术检测类别)
批注:Analytic Coverage简单的可以理解为检测到了恶意的行为,至于类别不是太需要关心,所以我全部归于一类,没有细分

Telemetry Coverage(遥测范围):检测到但只显示最小可处理数据的子步骤的比例(例如遥测探测类)
批注:Telemetry Coverage简单的可以理解为记录下了一些对于恶意行为的信息,但是并没有直接的体现出这是一个恶意行为,可以认为是并不能让用户立即的发现这是一次攻击,只能用于后续溯源和响应

Visibility(可见性):有分析或遥测检测的子步骤的比例
批注:就是恶意行为至少触发了上面两种范围类型至少一种的比例

由于MITRE部分测试项目在Linux下进行,但并不是所有参加的EDR厂商都支持Linux,所以我将使用百分比来展现结果而不是具体数量
(假如有的厂商支持了Linux但是Linux版做的非常差。。。那就不好意思咯
考虑到不是每个用户都非常了解攻击手段,我图表中使用Analytic Coverage作为默认的排名依据
(当然可见性也是很重要的,我这句话并不是否定某些可见性高但是分析范围较低的方案的意思)

好了,下面就是整理之后的结果

另外附送折线图


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 4分享 +3 人气 +15 收起 理由
屁颠屁颠 + 3 + 3 版区有你更精彩: )
隔山打空气 + 6 版区有你更精彩: )
a286282313 + 3
Picca + 3 精品文章

查看全部评分

wohaofan1200
发表于 2023-2-16 16:31:12 | 显示全部楼层
不明觉厉,支持楼主!
chjs
发表于 2023-2-16 16:45:43 | 显示全部楼层
本帖最后由 chjs 于 2023-2-16 18:01 编辑

哈哈哈,刚才刚看了官网的这个....  这里有个结果分析:
https://www.secrss.com/articles/41023
如何看懂MITRE安全评测报告:
https://cloud.tencent.com/developer/article/1815747

从你给的曲线看,似乎McAfee的比较平衡?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
Picca + 1 版区有你更精彩: )

查看全部评分

呵呵大神001
发表于 2023-2-16 19:04:35 | 显示全部楼层
mitre不认可你(直球)
神龟Turmi
 楼主| 发表于 2023-2-16 20:16:28 | 显示全部楼层
呵呵大神001 发表于 2023-2-16 19:04
mitre不认可你(直球)

那他们不认可的是他们自己 我可没算数据 都是他们自己报告上的数字 我从大到小了一下而已
chjs
发表于 2023-2-16 20:47:37 | 显示全部楼层
本帖最后由 chjs 于 2023-2-16 20:51 编辑

说白了这玩意不就是本地端点检测的技术Agent+云分析+事件可视化攻击视图方便后续还原调查处理,通过控制台可以提前用于企业的整体防御部署。感觉没什么新东西。。说白了,还是要传统的本地检测能力强是一大优势。遥测数据分析你得首先要网络基础设施畅通,黑客把你内网掐断了,霍霍,端点只能自己单干了。。就好像那个勒索软件加密要复原文件了,McAfee你没中央控制台搞个鬼。。。
呵呵大神001
发表于 2023-2-16 21:21:44 | 显示全部楼层
神龟Turmi 发表于 2023-2-16 20:16
那他们不认可的是他们自己 我可没算数据 都是他们自己报告上的数字 我从大到小了一下而已

di:你这是wf行为(mitre不认可)走,跟我去zs(狠狠批判edr万能论)
LeeHS
发表于 2023-2-17 10:51:57 | 显示全部楼层
有大佬询问过cybereason的报价吗,看Crowdstrike Falcon Endpoint Security 和 XDR vs Cybereason Endpoint Detection & Response 比較。两边评价一个‘價格高得離譜’,另一个‘昂貴的產品’
神龟Turmi
 楼主| 发表于 2023-2-19 09:20:05 | 显示全部楼层
LeeHS 发表于 2023-2-17 10:51
有大佬询问过cybereason的报价吗,看Crowdstrike Falcon Endpoint Security 和 XDR vs Cybereason Endpoint ...

问不到
megakotaro
发表于 2023-2-19 18:39:13 | 显示全部楼层
EDR著重在R:Response(響應)
端點偵測到後,要怎麼應對?將主機隔離全機掃毒?將IoC加入?自行撰寫YARA Rule?
反之,端點沒有異狀,那又要怎麼響應?
所以端點必須強大,需有多層次的防禦技術,才能偵測到端點事件,讓管理員可以響應
基本功不紮實,R了老半天還是被擊潰
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 08:34 , Processed in 0.131797 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表