EDRはアンチウイルス以上か?
サイバーセキュリティ業界は、これらの攻撃手順の組み合わせである「攻撃チェーン」の概念に精通しています。
幸い、MITRE組織は、ATT&CKフレームワークを使用して各ステップを文書化しています。
これは現実的な攻撃の正確な青写真を提供するものではありませんが、テスター、セキュリティベンダー、および顧客(あなた!)がテストを実行してテスト結果を理解するために使用できる一般的な構造を示しています。
SELabsが実行するEnterprise Advanced Securityテストは、実際の攻撃者の行動に基づいています。
これは、MITRE ATT&CKスタイルの形式を使用して、これらの攻撃を実行する方法を提示できることを意味します。
ATT&CKが各攻撃の詳細をどのようにリストアップするか、およびテスト方法をどのように表すかについては、13ページから始まる4.脅威インテリジェンスを参照してください。
セキュリティレポートは、こちら
これには2つの主な利点があります。テスト方法が現実的で関連性があることを確信できます。
おそらく、サイバー攻撃を説明するこの方法についてはすでにご存知でしょう。
EDRは、攻撃の多くの要素を追跡する必要があるため、ウイルス対策以上のものであり、その一部のみがマルウェアに関係している可能性があります。
マルウェアをまったく使用せずにネットワークを危険にさらすことは完全に可能です。
Enterprise Advanced Securityでは、マルウェア、ソーシャルエンジニアリング、および正当なツールの悪用を組み合わせて攻撃を生成します。
次に、各製品が攻撃のすべての部分をどのように処理するかを追跡し、実際の敵に対してどのように機能するかを確認します。
このレポートにあるように、結果は、CrowdStrike Falconを実際の攻撃に対して評価し、製品のウイルス対策部分だけを測定すると、その機能の多くが失われることを示しています。
セキュリティトレーニングは、こちら
セキュリティコンサルティングは、こちら