MITRE Engenuity ATT&CK 如何评估 EDR

主要观点总结

本文主要介绍了MITRE对EDR产品的评估结果，包括评估的主要缺陷、工作设计、工作准备、工作评估、总体趋势分析以及工作思考。评估指出EDR产品存在全局图分析缺失、缺乏完整解释和评估表述不一致等问题。同时，文章也展示了EDR产品在检测覆盖率、检测置信度、检测质量、数据源和兼容性等方面的分析。

关键观点总结

关键观点1: MITRE对EDR产品的评估背景与主要缺陷

从2018年开始，MITRE启动了ATT Enterprise评估，评估中重构攻击组织典型的攻击链并对EDR产品进行测试。评估存在的主要缺陷包括：缺少全局图分析、缺乏完整的解释以及评估表述不一致。

关键观点2: 工作设计概述

全局图分析按照控制流和数据流的视角构建图，判断EDR是否能完整重建攻击链，以及能否有效聚合攻击链判断攻击严重性。总体趋势分析则从检测覆盖率、检测置信度、检测质量、数据源和兼容性等方面进行全面分析。

关键观点3: 具体工作评估结果

以Wizard Spider+Sandworm评估为例，展示了部分参与评测的厂商对于攻击的检测能力，并且详细阐述了EDR在全局图分析、可见性、分析覆盖率等方面的进步与挑战。

关键观点4: 总体趋势分析与思考

可见性、分析覆盖率、置信度等都在提升，但仍然存在检测延迟、无法拦截以及不能跨主机关联的问题。EDR的数据收集能力逐年提升，但同一技术的多种实现方式可能覆盖尚不完全，检测粒度需要进一步细化。