作者:Greg Young(網路安全副總)
我是個資安產品測試宅。
我關注MITER ATT&CK框架已經有一段日子了。而在這個禮拜他們發表了最新用APT29(也稱為COZY BEAR)進行評測的結果。
底下我整理了一些趨勢科技的評測結果:
91.79%的整體偵測率。排在21家受測廠商的第二名。
91.04%無需更改設定。這次測試可以讓人在開始後變更設定,我們並不需要這麼做就能夠取得較高的整體結果。
107個遙測(Telemetry)。這數目很高,捕捉到事件是好事。沒辦法捕捉就不好。
28個警報(Alerts)。這個警報數排在中間,也應該要在中間。不要太吵也不要太安靜。我認為遙測數據很關鍵,可以用偵測和遙測數據來設定發布警報與否。
所以我們的Apex One產品面對這卑鄙可怕的駭客攻擊仍然安然無恙。但這只是個簡化的結論,沒有捕捉到此測試的精髓。以下是我對MITER ATT&CK框架的理解以及該如何去解釋結果。
重點 #1 – ATT&CK是基於情境
繼續閱讀