专栏名称: 威胁棱镜
当威胁照进棱镜,谁来狩猎光谱中的攻击?
今天看啥  ›  专栏  ›  威胁棱镜

MITRE Engenuity ATT&CK 如何评估 EDR

威胁棱镜  · 公众号  ·  · 2024-07-16 09:00
    

文章预览

工作来源 ASIA CCS 2024 工作背景 从 2018 年开始, MITRE 启动了 ATT Enterprise  评估。在评估中, MITRE 重构攻击组织典型的攻击链,对 EDR 产品进行测试。 MITRE 官方表示不会对结果进行解读,作者认为这样阻止了用户从结果中直接获取信息。有关该评估的其他相关信息,可以参考以前的文章或者论文原文,此处不再赘述了。 评估存在的主要缺陷是: 1 )缺少全局图分析。单点检测容易被绕过且会带来误报,最先进的 EDR 都将关联图及其衍生模式内嵌在产品中。 2 )缺乏完整的解释。没有给出官方解释说明导致各家公司都表示自己取得了近乎完美的表现,各方都选取了特定的表述角度宣传自身产品。 3 )评估表述不一致。几乎每次评估的方法和表述中使用的术语定义都在变化,导致结果之间存在差异。 工作设计 整体分析如下所示: 全局图分析 首 ………………………………

原文地址:访问原文地址
快照地址: 访问文章快照
总结与预览地址:访问总结与预览