本帖最后由 谈谈MEMZ 于 2026-3-19 14:12 编辑
前言
本文带有很多个人主观看法 不代表 Cynet 的实际性能 排版非常不专业 第一次写文致歉()
MITRE ATT&CK Evaluation 第七轮(Enterprise 2025)的结果出来之后,Cynet 的成绩单属实让我眼前一亮。
Scattered Spider场景62个检测步骤,全部Technique级检出,0误报,99条高危告警。
我当时的反应:这什么怪物?想必是非常强悍,必须整来试试看。
这是今年继 Cortex XDR 之后我们尝试的第二款 EDR 产品 关于 Cortex 的测评 详见 EDR&异常检测领域大神-Cortex XDR Pro 体验与测评
怎么说呢,我现在非常理解为什么MITRE评估页面底部要加一行"Results should not be used as the sole basis for product selection"了(
——————————————————————————————————
一、Cynet是谁,以及那张满分答卷
先简单介绍一下 Cynet,毕竟这家在国内确实比较小众。
Cynet 是一家 2015 年成立于以色列特拉维夫的网络安全公司,目前总部位于波士顿,累计融资约 7900 万美元。主打的定位是让中小企业也能用上企业级的安全防护——产品叫 Cynet 360 AutoXDR,把 EPP、EDR、NDR、UBA、SOAR 和 MDR 全塞进一个平台里,官方宣传是"All-in-One"。创始人 Eyal Gruner 在以色列安全圈也算有些背景,之前联合创办过 BugSec 和 Versafe(后者被 F5 Networks 收购)。
说白了就是一家以色列安全创业公司,走的是"什么都做"的路线。在国内几乎没什么存在感,但这次 MITRE ER7 的成绩实在太亮眼,不整来试试实在说不过去——
Cynet在MITRE ER7 Scattered Spider场景中的表现:
检测步骤:62步全部达到Technique(最高级别)
告警分布:99条Critical/High告警,0条Low
噪音测试:10个良性操作步骤,0误报
覆盖范围:从钓鱼初始访问 → 内网发现 → AWS云攻防 → 凭据窃取 → 横向移动 → 数据外泄,全链条覆盖
看到这个成绩单,说实话我预期是相当高的。一个能在MITRE拿满分的产品,实战表现再怎么着也不会差到哪去
吧?
——————————————————————————————————
二、安装与初印象
首先要感谢Cynet用极高的授权获取门槛帮我们做了第一轮筛选——经过不懈努力和四处碰壁,我们终于还是拿到了Cynet 360 AutoXDR Elite的授权。这大概是整个测评过程中Cynet表现最"Elite"的一个环节了。
2.1 部署
Cynet是纯SaaS架构的云控制台,Agent安装包41.8MB,体积倒是很克制。
但是这个安装程序的画风……
和早期的 FakeAPP 比较相似 但安装程序毕竟是通用的 一路下一步就完事了
安装完成后让我们看看 Cynet 的文件目录
令人感叹 mitre 榜一的杀软居然如此随性 甚至都不愿意创建一个文件夹
EDR 部分的日志采集是通过 Logstash 来实现的 但是他并没有和主程序放在一起 作为一个单独的 powershell脚本 需要用户手动安装
运行之后,他会释放 Java 和其余文件到 C 盘根目录 这倒也没什么
让我们看看他的运行方式
整个Logstash进程是用nssm(Non-Sucking Service Manager)挂着的
这是否...
安装完成后本地仅剩一个托盘图标,甚至没有任何的 UI,可以说是非常 Auto 了
2.2 UI与管理体验
经历了上面这套安装流程,我对Cynet 已经不抱什么期待了,让我们回头看看控制台。
整个云台的设计和布局只能用"混乱"来形容 各种功能和信息的堆叠毫无章法 不安 desu
配置的部分倒是非常简洁 官方标称是 0 配置直接上手 事实也的确如此 整个云台中几乎没有什么是可以配置的
所谓的策略设置,几乎都是一些无关紧要的开关,也无法调整检测敏感度。但话说回来,这倒也不全是坏事——的确大幅降低了上手难度。毕竟没东西可配,自然也就不存在配错的可能(
——————————————————————————————————
三、实测表现
聊完安装体验,该看看这位MITRE满分选手的真实战斗力了。
3.1 静态查杀
一句话总结:大概就是小红伞的水平。
 
Cynet的静态引擎底层用的是Avira OEM。在这之上Cynet叠了一层自研的CyAI机器学习模型,但从实测来看补得相当有限,只能说聊胜于无,在实战当中很少触发就是了。
通过最近样本包的测试 我们发现他的 Shellcode 检测几乎全靠内存扫描 也算是比较让人失望一点了
本地告警截图
从目前样本区的测试来看 检测能力非常不够看 起码没有满分的水平
3.2 云台告警与响应
虽然查杀拉胯,但EDR嘛,总得看看告警和响应能力 让我们看看云台这边的表现
事件告警:
坦白说,告警这块也不太乐观——整个时间线非常混乱,事件之间的关联关系不明确,前后容易断链,想要溯源一次完整的攻击过程非常费劲。与其说是攻击链路图,不如说是告警按时间戳排了个队
事件时间线:
告警的操作选项倒还算堪用——可以将文件发送给SOC分析,也可以直接提交到沙箱:
 
对告警相关文件也可以执行一些基本操作:
 
内置沙箱的分析结果:
公平地说,这部分的功能完成度还算可以,基本的告警研判和响应操作都有,就是沙箱版本有一点落后。
有一个细节值得一提:Cynet所谓的"脚本响应操作"是真的脚本——看起来就是启一个cmd去执行kill进程之类的命令。不是什么高级的API调用或内核级操作,就是字面意义上的跑脚本
——————————————————————————————————
四、CyOps MDR(?)
Cynet 360 AutoXDR Elite的一大卖点就是标配的24x7 CyOps MDR(Managed Detection & Response,托管检测和响应)服务。听着就很美好(搓手
说实话,我们在测试初期根本不知道MDR的存在。部署完Agent之后该扫描扫描,该双击双击,一堆告警冒出来了也没见有人理我们。直到第二天我接到了一个来自美国的电话,虽然带着非常浓重的印度口音,但的确确认我们的确是有MDR服务的。
那既然确认有MDR,它到底在干什么呢?
答案是:把控制台上的告警内容复读一遍,发到你的邮箱里。
几乎是字面意义上的复读 排版非常粗糙 几乎没有任何的主观分析 和告警一致
一个告警几乎会产生两到三份邮件 导致MDR的通知时常被埋在邮件堆里面 噪音大到反而让你更容易漏掉真正重要的东西
前面第三章提到,告警操作里有一个"发送给SOC分析"的功能——听起来终于有人工介入了对吧?我们满怀期待地把样本提交了过去,然后……
没有任何回应。 不回邮件,不出报告,控制台上也没有任何状态更新。发过去就像丢进了黑洞
由于我们目前也没有找到关于MDR服务的授权配置入口,暂时无法确认CyOps到底干不干活,这部分就留给后续补充了。但就目前的观察来看——打电话确认服务存在,可能是CyOps做过的最有价值的一件事(
——————————————————————————————————
五、写在最后
Cynet在MITRE上的满分,说明它的检测能力上限也许确实存在。但从安装程序长得像FakeApp的那一刻起,到主程序散装进C:\Windows\,到nssm挂Java跑Logstash,再到MDR的告警复读邮件——这个上限和日常体验之间的距离,大概比从以色列到中国还远(
至于Cynet 360 AutoXDR Elite这个产品名,经过这轮测评我终于理解了每一个词的含义:
360 —— 主程序360度散落在系统目录各处
Auto —— 自动到连配置界面都省了
XDR —— nssm + Java + Logstash,X确实挺X的
Elite —— 获取授权的难度确实很Elite
| 
发表于 
猫娘包被兜兜转转一圈回来才知道S1的好
楼主
