近日，国际知名第三方网络安全服务机构——赛可达实验室继研究机构MITRE之后，全球第二家且国内首家发布基于ATT&CK的《网络安全产品威胁检测能力测评方案》，并率先提出了攻击技术覆盖面指数概念。

当前，网络攻击方式和技术不断变化，利用漏洞尤其是0Day、系统软件、合法工具的攻击，特别是APT攻击的数量增多，攻击进化日易复杂。据研究，36%的攻击是不基于攻击样本文件的。基于样本文件（Hash values）、IP、节点（domain）、沙箱等的检测已不能跟上进攻方的步伐。越来越多的网络安全产品加入攻击行为分析、关联数据分析、威胁情报等新技术以提高对攻击的检测能力，特别是对APT攻击的检测能力。

ATT&CK框架是由研究机构MITRE主导的一个描述攻击行为的公开知识库。该框架基于已知攻击分析，将攻击行为分为战术（tactics）和技术（techniques），用于精炼描述攻击行为。网络安全产品应准确识别和记录基于各种技术的攻击行为数据，通过数据、威胁情报、溯源等技术分析，准确识别出威胁攻击。

赛可达实验室拥有多年网络安全检测技术和经验的积累，根据ATT&CK知识框架，提出衡量安全产品威胁检测能力的两个重要指标：攻击技术覆盖面和深度检测-攻击链识别。

技术覆盖面（Coverage of Techniques）就是安全产品所能覆盖的攻击技术数量。在测试中，使用测试工具、攻击脚本和样本模拟多种攻击，产品日志应记录或报警，日志数据应能够清楚对应所用每一项攻击技术。基于一种攻击技术的数据分析常常不能正确判断出攻击行为，可能会产生误报。因此，产品应具备攻击链分析和识别的能力。深度检测-攻击链识别 （Deep Analysis - Technique Chain Detection）就是根据攻击技术和技术链的关联分析，正确识别出攻击行为，并能够及时报警和响应。

赛可达实验室CEO宋继忠指出，“威胁检测能力应是安全产品和网络安全的核心。ATT&CK知识框架为增强安全产品攻击检测能力和衡量产品攻击检测能力提供了新的思路，受到了国内外用户和安全厂商的关注，落地应用场景越来越多，将逐渐成为网络安全产品威胁检测能力的标配。赛可达实验室愿与用户、安全厂商、测评机构、科研单位合作，共同努力，提升威胁防护水平，使网络更安全。”

在赛可达实验室首批网络安全产品威胁检测能力测评中，奇安信天擎终端安全管理系统(EDR)(以下简称“天擎EDR”)率先通过了测试，并获得了国内首张“东方之星 威胁检测能力”证书。本次测试共包含三个部分：ATT&CK技术覆盖面测试、基于场景的攻击链识别与深度检测以及反病毒检出与防护测试。测试结果显示，天擎EDR的ATT&CK技术覆盖数量达到120个，可深度识别多种技术组合攻击的完整攻击链并产生告警，同时病毒查杀率达到了99.98%，表现优异。

赛可达实验室

赛可达实验室（SKD Labs）是国际知名第三方网络安全服务提供商，也是中国合格评定国家认可委员会CNAS认可实验室以及国际ISO/IEC 17025认证实验室。秉承“公正、中立、科学、严谨”的服务理念，拥有世界领先的网络安全检测技术、数年丰富的国际测评经验和专业的测试团队，致力为政企用户和安全企业提供权威的第三方网络安全服务。服务范围包含软硬件产品安全测评认证、网络安全有效性检测评估、产品入围选型测试、APP安全合规检测认证、通用软件测评、代码安全审计等。