核心概念
MITRE Engenuity ATT&CK 기업 평가 결과를 심층적으로 분석하여 주류 EDR 제품의 강점과 한계를 파악하고 개선 방향을 제시한다.
要約
이 논문은 MITRE Engenuity가 수행한 APT 모방 평가 결과를 심층적으로 분석하여 EDR 시스템의 성능을 종합적으로 평가하였다.
먼저 전체 공격 그래프 분석을 통해 EDR 시스템의 공격 연관성 파악 및 대응 능력을 평가하였다. 공격 그래프 연결성 분석 결과, 대부분의 EDR 시스템이 공격 단계 간 연관성을 파악할 수 있었지만, 일부 시스템은 지연된 대응이나 누락된 대응을 보였다. 이는 단일 단계 탐지에 의존하는 한계 때문인 것으로 분석되었다.
또한 전반적인 탐지 성능 추이 분석을 통해 EDR 시스템의 탐지 범위, 탐지 신뢰도, 탐지 품질, 데이터 소스, 호환성 등 다양한 측면에서 성능 변화를 파악하였다. 분석 결과, EDR 시스템의 전반적인 탐지 성능이 향상되고 있지만, 일부 기술과 일부 벤더의 성능이 여전히 부족한 것으로 나타났다.
이를 통해 연구진은 EDR 시스템의 강점과 개선이 필요한 영역을 종합적으로 파악하고, 향후 EDR 시스템 발전을 위한 제언을 제시하였다.
統計
대부분의 EDR 시스템은 80% 이상의 공격 단계를 식별할 수 있다.
일부 EDR 시스템은 암호화된 채널이나 애플리케이션 계층 프로토콜 통신을 탐지하지 못한다.
15개의 기술은 모든 EDR 시스템에서 100% 가시성을 보였다.
AhnLab은 파일 시스템과 네트워크 활동 모니터링이 부족하여 낮은 가시성을 보였다.
引用
"대부분의 EDR 시스템이 공격 단계 간 연관성을 파악할 수 있었지만, 일부 시스템은 지연된 대응이나 누락된 대응을 보였다."
"일부 기술과 일부 벤더의 성능이 여전히 부족한 것으로 나타났다."