MITRE Engenuity ATT&CK如何评估EDR
MITRE Engenuity ATT&CK如何评估EDR
MITRE Engenuity的ATT&CK评估项目自2018年启动以来,通过重构攻击组织的典型攻击链对EDR产品进行测试。然而,该评估存在一些缺陷,如缺少全局图分析、缺乏完整解释以及评估表述不一致等。本文将从全局图分析和总体趋势分析两个维度,深入探讨EDR系统的性能表现。
工作设计
整体分析框架如下:
全局图分析
全局图分析主要从控制流和数据流的视角构建图,评估EDR是否能完整重建攻击链并有效聚合攻击链判断攻击严重性。
以2022年Wizard Spider+Sandworm评估为例,测试环境包含六台主机(其中一台为Linux),30个参评厂商中有22个支持Linux数据收集检测。结果显示,83.3%的厂商能够获得包含所有攻击步骤的连通图。
在具体场景中,如通过邮件附件传播恶意软件的场景,22个EDR中有21个在Explorer下载Word文档时就能触发拦截。而在利用窃取凭据入侵的场景中,虽然21个EDR都能阻止攻击,但只有半数能在恶意软件回连时进行拦截,这表明可见性降低影响了检测效果。
总体趋势分析
从多个维度对EDR系统的表现进行了全面分析:
可见性
从技术角度看,可见性中位数为95%,意味着95%的EDR系统能够看到一半的攻击步骤。从厂商角度看,可见性中位数为85%,表明一半的EDR厂商能够看到85%的攻击步骤。整体可见性呈现上升趋势,但某些技术(如ArchiveCollected Data)的可见性波动较大,说明实现方式的差异对检测能力有显著影响。
分析覆盖率
分析覆盖率从69.8%提升至85.5%,超过90%的EDR会对50%的可见攻击步骤进行告警,50%的EDR会对90%的可见攻击步骤进行告警。后渗透阶段的攻击行为(如C&C通信、数据外带)分析覆盖率较低,而防御规避、凭据访问等前阶段行为分析覆盖率较高。
置信度
置信度从50%提升至88.25%,表明检测细节水平显著提高。优秀的EDR厂商如PaloAlto Networks、Sentinel One和CheckPoint在置信度和分析覆盖率上表现优异。
检测质量
检测质量整体呈现上升趋势,但EDR系统仍面临检测延迟、无法拦截以及跨主机关联等问题。
数据源
数据源数量从2019年的9个增加到2022年的42个,但进程、文件、网络、系统调用/API仍然是最重要的数据源。
兼容性
在Linux平台上的防护效果普遍较差,许多在Windows上有效的防护措施在Linux上失效,表明EDR系统在跨平台兼容性方面仍需改进。
思考与建议
- 全局图关联能力对防御至关重要,但目前仍存在检测延迟、无法拦截以及跨主机关联等问题。
- EDR的数据收集能力逐年提升,但同一技术的多种实现方式可能影响覆盖效果,需要进一步细化检测粒度。
- EDR对典型恶意行为的检测信心较高,但对于与良性行为相似的恶意行为则难以准确判断。