本研究は、MITRE Engenuityが実施するAPT攻撃シミュレーションの結果を詳細に分析することで、エンドポイント検知・対応システムの性能を明らかにしている。
まず、攻撃シナリオごとに因果関係グラフを構築し、システムの攻撃連鎖の再構築能力と攻撃への対応能力を分析した。その結果、多くのシステムが攻撃連鎖を完全に再構築できず、適切なタイミングで攻撃を遮断できないことが明らかになった。
次に、検知率、検知信頼度、検知品質、データソース、互換性の観点から、各システムと各テクニックの性能を分析した。検知率は全体的に向上しているが、同一テクニックでも大きな差があり、テクニックレベルでは粒度が粗すぎることが分かった。また、検知信頼度と検知品質にも課題があり、多くのシステムが遅延検知や設定変更に頼っていることが明らかになった。
最後に、さらなる分析と改善のための3つの提案を行った。1) 攻撃連鎖の再構築能力の向上、2) 適切なタイミングでの攻撃遮断、3) テクニックレベルではなく、より細かい粒度での性能評価。
本研究の分析結果は、エンドポイント検知・対応システムの性能向上に役立つ重要な知見を提供している。
לשפה אחרת
מתוכן המקור
arxiv.org
תובנות מפתח מזוקקות מ:
by Xiangmin She... ב- arxiv.org 04-24-2024
https://arxiv.org/pdf/2401.15878.pdfשאלות מעמיקות