|
独立研究显示对已知APT威胁的保护力强,同时也凸显了检测改造变异的挑战 奥地利因斯布鲁克,2026年3月18日 /美通社/ ——独立网络安全测试机构AV-Comparatives发布了其《APT检测覆盖报告2026》,该报告深入评估了消费者网络安全解决方案在网络间谍活动中检测已知高级持续威胁(APT)工具集的有效性。 高级持续性威胁代表了一些最复杂的网络攻击形式。与传统恶意软件不同,APT活动通常设计为渗透特定目标,长时间保持隐匿,并收集敏感信息。这些行动通常涉及高级规避技术、定制恶意软件和多阶段攻击链。 为了评估当前的防护能力,AV-Comparatives进行了一项长期研究,利用来自126个公开记录的APT集团的7,579个样本,分析了14款消费者网络安全产品。研究始于2024年11月,2026年2月结束,测试阶段包括离线和在线扫描、供应商更新后的后续测试以及执行中的行为检测。该研究提供了目前可用的最大实证数据集之一,展示了消费者安全产品如何检测公开文档的APT工具集。 结果显示,现代消费者安全解决方案在执行时触发行为检测机制时,能强有力地抵御已知的APT威胁。执行测试获得了最高的保护水平,所有测试产品原始APT样品的检测率均超过99%。 AV-Comparatives创始人兼首席执行官Andreas Clementi评论道:“高级持续威胁常被用政治或战略术语讨论,但从技术角度看,它们其实就是恶意软件。我们的研究显示,现代消费者安全产品在检测已知APT工具集方面通常非常有效,尤其是在执行过程中。同时,结果也凸显了改良型仍可能挑战部分检测引擎,这凸显了行为检测和保护技术持续改进的重要性。” 当引入小的二进制修改以改变文件哈希而不改变恶意行为时,某些解决方案的检测率下降。这一发现表明,高度依赖静态指示器的保护机制可能难以识别已知恶意软件的变更版本。 分析还考察了检测性能是否与威胁行为者或安全供应商的地理来源相关。结果显示,供应商的位置与其检测区域关联APT群体的能力之间没有有意义的关系,表明剩余的检测缺口主要是技术性质而非地缘政治性质。 AV-Comparatives指出,这些发现凸显了行为分析、启发式检测和机器学习技术在防御先进和不断演变的网络威胁中日益重要的重要性。持续的独立测试和及时的威胁情报更新仍然是维护对复杂攻击强有力防护的关键。 完整的APT检测覆盖报告2026年可在AV-Comparatives网站上查阅。 (原文经微软翻译)
| 
发表于 
楼主
卡巴近两年有些依赖云,不过我比较好奇,eset是如何做到线上线下几乎一致的检测率的?希望驭龙大大可以解惑,谢谢!
