文章预览
工作来源 ASIA
CCS 2024 工作背景 从 2018 年开始, MITRE 启动了 ATT
Enterprise 评估。在评估中, MITRE 重构攻击组织典型的攻击链,对 EDR 产品进行测试。 MITRE 官方表示不会对结果进行解读,作者认为这样阻止了用户从结果中直接获取信息。有关该评估的其他相关信息,可以参考以前的文章或者论文原文,此处不再赘述了。 评估存在的主要缺陷是: 1 )缺少全局图分析。单点检测容易被绕过且会带来误报,最先进的 EDR 都将关联图及其衍生模式内嵌在产品中。 2 )缺乏完整的解释。没有给出官方解释说明导致各家公司都表示自己取得了近乎完美的表现,各方都选取了特定的表述角度宣传自身产品。 3 )评估表述不一致。几乎每次评估的方法和表述中使用的术语定义都在变化,导致结果之间存在差异。 工作设计 整体分析如下所示: 全局图分析 首
………………………………