本帖最后由 谈谈MEMZ 于 2026-3-23 21:27 编辑
前言
本文带有很多个人主观看法 不代表 Cynet 的实际性能 排版非常不专业 第一次写文致歉()
MITRE ATT&CK Evaluation 第七轮(Enterprise 2025)的结果出来之后,Cynet 的成绩单属实让我眼前一亮。
Scattered Spider场景62个检测步骤,全部Technique级检出,0误报,99条高危告警。
我当时的反应:这什么怪物?想必是非常强悍,必须整来试试看。
这是今年继 Cortex XDR 之后我们尝试的第二款 EDR 产品 关于 Cortex 的测评 详见 EDR&异常检测领域大神-Cortex XDR Pro 体验与测评
怎么说呢,我现在非常理解为什么MITRE评估页面底部要加一行"Results should not be used as the sole basis for product selection"了(
——————————————————————————————————
一、Cynet是谁,以及那张满分答卷
先简单介绍一下 Cynet,毕竟这家在国内确实比较小众。
Cynet 是一家 2015 年成立于以色列特拉维夫的网络安全公司,目前总部位于波士顿,累计融资约 7900 万美元。主打的定位是让中小企业也能用上企业级的安全防护——产品叫 Cynet 360 AutoXDR,把 EPP、EDR、NDR、UBA、SOAR 和 MDR 全塞进一个平台里,官方宣传是"All-in-One"。创始人 Eyal Gruner 在以色列安全圈也算有些背景,之前联合创办过 BugSec 和 Versafe(后者被 F5 Networks 收购)。
说白了就是一家以色列安全创业公司,走的是"什么都做"的路线。在国内几乎没什么存在感,但这次 MITRE ER7 的成绩实在太亮眼,不整来试试实在说不过去——
Cynet在MITRE ER7 Scattered Spider场景中的表现:
检测步骤:62步全部达到Technique(最高级别)
告警分布:99条Critical/High告警,0条Low
噪音测试:10个良性操作步骤,0误报
覆盖范围:从钓鱼初始访问 → 内网发现 → AWS云攻防 → 凭据窃取 → 横向移动 → 数据外泄,全链条覆盖
看到这个成绩单,说实话我预期是相当高的。一个能在MITRE拿满分的产品,实战表现再怎么着也不会差到哪去
吧?
——————————————————————————————————
二、安装与初印象
首先要感谢Cynet用极高的授权获取门槛帮我们做了第一轮筛选——经过不懈努力和四处碰壁,我们终于还是拿到了Cynet 360 AutoXDR Elite的授权。这大概是整个测评过程中Cynet表现最"Elite"的一个环节了。
2.1 部署
Cynet是纯SaaS架构的云控制台,Agent安装包41.8MB,体积倒是很克制。
但是这个安装程序的画风……
和早期的 FakeAPP 比较相似 但 Advanced Installer 毕竟是通用的 一路下一步就完事了
安装完成后让我们看看 Cynet 的文件目录
令人感叹 mitre 榜一的杀软居然如此随性 甚至都不愿意创建一个文件夹
EDR 部分的日志采集是通过 Logstash 来实现的 但是他并没有和主程序放在一起 作为一个单独的 powershell脚本 需要用户手动安装
运行之后,他会释放 Java 和其余文件到 C 盘根目录 这倒也没什么
让我们看看他的运行方式
整个Logstash进程是用nssm(Non-Sucking Service Manager)挂着的
这是否...
安装完成后本地仅剩一个托盘图标,甚至没有任何的 UI,可以说是非常 Auto 了
2.2 UI与管理体验
经历了上面这套安装流程,我对Cynet 已经不抱什么期待了,让我们回头看看控制台。
整个云台的设计和布局只能用"混乱"来形容 各种功能和信息的堆叠毫无章法 不安 desu
配置的部分倒是非常简洁 官方标称是 0 配置直接上手 事实也的确如此 整个云台中几乎没有什么是可以配置的
所谓的策略设置,几乎都是一些无关紧要的开关,也无法调整检测敏感度。但话说回来,这倒也不全是坏事——的确大幅降低了上手难度。毕竟没东西可配,自然也就不存在配错的可能(
——————————————————————————————————
三、实测表现
聊完安装体验,该看看这位MITRE满分选手的真实战斗力了。
3.1 静态查杀
一句话总结:大概就是小红伞的水平。
 
Cynet的静态引擎底层用的是Avira OEM。在这之上Cynet叠了一层自研的CyAI机器学习模型,但从实测来看补得相当有限,只能说聊胜于无,在实战当中很少触发就是了。
通过最近样本包的测试 我们发现他的 Shellcode 检测几乎全靠内存扫描 也算是比较让人失望一点了
本地告警截图
从目前样本区的测试来看 检测能力非常不够看 起码没有满分的水平
3.2 云台告警与响应
虽然查杀拉胯,但EDR嘛,总得看看告警和响应能力 让我们看看云台这边的表现
事件告警:
坦白说,告警这块也不太乐观——整个时间线非常混乱,事件之间的关联关系不明确,前后容易断链,想要溯源一次完整的攻击过程非常费劲。与其说是攻击链路图,不如说是告警按时间戳排了个队
事件时间线:
告警的操作选项倒还算堪用——可以将文件发送给SOC分析,也可以直接提交到沙箱:
 
对告警相关文件也可以执行一些基本操作:
 
内置沙箱的分析结果:
公平地说,这部分的功能完成度还算可以,基本的告警研判和响应操作都有,就是沙箱版本有一点落后。
有一个细节值得一提:Cynet所谓的"脚本响应操作"是真的脚本——看起来就是启一个cmd去执行kill进程之类的命令。不是什么高级的API调用或内核级操作,就是字面意义上的跑脚本
——————————————————————————————————
四、CyOps MDR(?)
Cynet 360 AutoXDR Elite的一大卖点就是标配的24x7 CyOps MDR(Managed Detection & Response,托管检测和响应)服务。听着就很美好(搓手
说实话,我们在测试初期根本不知道MDR的存在。部署完Agent之后该扫描扫描,该双击双击,一堆告警冒出来了也没见有人理我们。直到第二天我接到了一个来自美国的电话,虽然带着非常浓重的印度口音,但的确确认我们的确是有MDR服务的。
那既然确认有MDR,它到底在干什么呢?
答案是:把控制台上的告警内容复读一遍,发到你的邮箱里。
几乎是字面意义上的复读 排版非常粗糙 几乎没有任何的主观分析 和告警一致
一个告警几乎会产生两到三份邮件 导致MDR的通知时常被埋在邮件堆里面 噪音大到反而让你更容易漏掉真正重要的东西
前面第三章提到,告警操作里有一个"发送给SOC分析"的功能——听起来终于有人工介入了对吧?我们满怀期待地把样本提交了过去,然后……
没有任何回应。 不回邮件,不出报告,控制台上也没有任何状态更新。发过去就像丢进了黑洞
由于我们目前也没有找到关于MDR服务的授权配置入口,暂时无法确认CyOps到底干不干活,这部分就留给后续补充了。但就目前的观察来看——打电话确认服务存在,可能是CyOps做过的最有价值的一件事(
——————————————————————————————————
五、写在最后
Cynet在MITRE上的满分,说明它的检测能力上限也许确实存在。但从安装程序长得像FakeApp的那一刻起,到主程序散装进C:\Windows\,到nssm挂Java跑Logstash,再到MDR的告警复读邮件——这个上限和日常体验之间的距离,大概比从以色列到中国还远(
至于Cynet 360 AutoXDR Elite这个产品名,经过这轮测评我终于理解了每一个词的含义:
360 —— 主程序360度散落在系统目录各处
Auto —— 自动到连配置界面都省了
XDR —— nssm + Java + Logstash,X确实挺X的
Elite —— 获取授权的难度确实很Elite
| 
[复制链接]
发表于 2026-3-17 18:09:56
猫娘包被兜兜转转一圈回来才知道S1的好
楼主
