MITRE ATT&CK Evaluation 2023年测试结果个人向排名+翻译

显示全部楼层 · 发表于 2023-9-27 23:32:09

本帖最后由神龟Turmi 于 2023-9-27 23:36 编辑

去年我曾发过他们2022年的结果排名和翻译，传送门：https://bbs.kafan.cn/thread-2252124-1-1.html

最近，他们发布了2023年度的测试，模仿的是俄罗斯国家级黑客组织Turla的攻击方式，用来考察EDR产品的检测能力和EPP产品的保护能力。由于他们从来不提供官方的排名和对比，所以我将测试结果做了整理和简化，然后以表格的形式提供以便快速的阅读。

按照MITRE的要求，他们不做也不认可任何第三方提供的报告解读，所以我仅致力于保持简单的阅读难度的情况下将测试结果尽量按照完整的单个产品报告进行整合，尽可能的不影响到原始报告中的测试结果。因此，我不会说某个安全软件在某个方面表现更好，只是照搬他们测试中的整体表现。

本年度测试总共分为三个大类（Carbon、Snake、Protection），有31款安全软件参加，其中Cisco和Checkpoint因为测试过程中出现兼容性问题而提前退出，故有29款安全软件的结果体现在了最终报告中。

在检测能力的两个部分中，我按照他们官方曾经的简化版报告的方法，将检测简单的分为Analytic Coverage（分析范围）和Visibility（可见性）。其中Analytic Coverage意味着安全软件产生了映射到ATT&CK中定义的技术或战术检测，或者产生了未映射到ATT&CK的一般（但是有分析价值）检测。而Visibility在Analytic Coverage的基础上，将安全软件产生无法用于单独分析的行为日志也规纳入其中。

第一部分：Carbon（检测能力）
介绍：
该场景遵循 Turla 的多阶段攻击方法，在受害者网络上植入一个持久性水坑，以此入侵更多潜在的受害者。Turla 通过鱼叉式网络钓鱼邮件获得初始的访问权限，将伪造的软件安装程序下载到受害者机器上并执行 EPIC 载荷。一旦建立了持久化和 C&C 通信，就将尝试发现一个域控制器，并将 CARBON-DLL 传入受害者网络。攻击者进一步横向移动到 Linux Apache 服务器，将 PENQUIN 复制到服务器并用于配置水坑攻击。
结果：

注：蓝色字体代表该软件声明某些测试中的子项目是不受支持的，例如可能有些安全软件并不支持Linux操作系统，这些不受支持的子项目被从总体百分比中排除。

第二部分：Snake（检测能力）
介绍：
该场景延续了 Turla 的多阶段情报收集活动，攻击者建立和抢注了一个域名包含错别字的钓鱼网站，以拥有高价值信息的实体为目标。Turla 利用捆绑有 EPIC 载荷的 Adobe{过}{滤}Flash 安装程序，以受害者为目标，在受害者的网络上进行安装。EPIC 载荷通过代-理服务器与 C&C 服务器进行 HTTPS 通信，通过注入进程持续运行，并在受害者的设备网络上执行枚举。然后部署 SNAKE 以维持持久化、提升权限并通过 HTTP/SMTP/DNS 与 C&C 通信。最后，攻击者横向移动安装 LightNeuron，使 Turla 能够收集和过滤敏感通信，以进一步实现任务目标。
结果：

注：蓝色字体代表该软件声明某些测试中的子项目是不受支持的，例如可能有些安全软件并不支持Linux操作系统，这些不受支持的子项目被从总体百分比中排除。

第三部分：保护测试
结果：

注：蓝色字体代表该软件不支持Linux系统的保护（可能有扫描能力，但是没有实时防护，没有继续测下去的意义）。有6款软件没有参加保护测试（有可能是纯EDR或者软件厂商不希望参加），它们的全部子项目记为N/A。√后的数字代表拦截的子步骤，不能斩钉截铁的说拦截的最早说明越强，但是可以体现它更偏向于二进制的拦截还是行为的拦截。

显示全部楼层 · 发表于 2023-9-27 23:57:37

铁壳一般般。

显示全部楼层 · 发表于 2023-9-28 04:32:30

趋势在测试中表现就一直很好，真奇怪

显示全部楼层 · 发表于 2023-9-28 08:19:16

MD表现让人惊喜啊。

显示全部楼层 · 发表于 2023-9-28 09:04:15

趋势怎么比eset好了

显示全部楼层 · 发表于 2023-9-28 09:07:14

本帖最后由神龟Turmi 于 2023-9-28 09:10 编辑

杜野凛世发表于 2023-9-28 04:32
趋势在测试中表现就一直很好，真奇怪

因为这不是个人版
趋势的EDR不算很好，但是ESET的EDR属于烂出天际
至于保护测试，大概一半都是被IDS拦的，剩下一些都是ML97%之类的，可能和个人版用户没有什么关系

附上他们测试截图里的报法

显示全部楼层 · 发表于 2023-9-28 09:09:33

初心．杰发表于 2023-9-28 09:04
趋势怎么比eset好了

详见6楼

显示全部楼层 · 发表于 2023-9-28 09:16:31

神龟Turmi 发表于 2023-9-28 09:07
因为这不是个人版
趋势的EDR不算很好，但是ESET的EDR属于烂出天际
至于保护测试，大概一半都是被IDS拦 ...

有護士的測試截圖嗎

显示全部楼层 · 发表于 2023-9-28 09:44:53

761773275 发表于 2023-9-28 09:16
有護士的測試截圖嗎

没要求看test几那就随便搬两张吧

显示全部楼层 · 发表于 2023-9-28 10:17:28

之前就在样本区看到趋势的企业版有个人版上没有的报法。只能说藏招了

[分享] MITRE ATT&CK Evaluation 2023年测试结果个人向排名+翻译

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

本帖子中包含更多资源