近日，赛可达实验室正式发布基于ATT&CK的《网络安全产品威胁检测能力测评方案》，并提出了攻击技术覆盖面指数概念。

当前，网络攻击方式和技术不断变化，利用漏洞尤其是0Day、系统软件、合法工具的攻击，特别是APT攻击的数量增多，攻击进化日易复杂。据研究，36%的攻击是不基于攻击样本文件的。基于样本文件（Hash values）、IP、节点（domain）、沙箱等的检测已不能跟上进攻方的步伐。越来越多的网络安全产品加入攻击行为分析、关联数据分析、威胁情报等新技术以提高对攻击的检测能力，特别是对APT攻击的检测能力。

ATT&CK框架是由研究机构MITRE主导的一个描述攻击行为的公开知识库。该框架基于已知攻击分析，将攻击行为分为战术（tactics）和技术（techniques），用于精炼描述攻击行为。网络安全产品应准确识别和记录基于各种技术的攻击行为数据，通过数据、威胁情报、溯源等技术分析，准确识别出威胁攻击。

赛可达实验室根据ATT&CK知识框架，提出衡量安全产品威胁检测能力的两个重要指标：攻击技术覆盖面和深度检测-攻击链识别。

技术覆盖面（Coverage of Techniques）就是安全产品所能覆盖的攻击技术数量。在测试中，使用测试工具、攻击脚本和样本模拟多种攻击，产品日志应记录或报警，日志数据应能够清楚对应所用每一项攻击技术。基于一种攻击技术的数据分析常常不能正确判断出攻击行为，可能会产生误报。因此，产品应具备攻击链分析和识别的能力。深度检测-攻击链识别 （Deep Analysis – Technique Chain Detection）就是根据攻击技术和技术链的关联分析，正确识别出攻击行为，并能够及时报警和响应。

赛可达实验室CEO宋继忠指出，“威胁检测能力应是安全产品和网络安全的核心。ATT&CK知识框架为增强安全产品攻击检测能力和衡量产品攻击检测能力提供了新的思路，受到了国内外用户和安全厂商的关注，落地应用场景越来越多，将逐渐成为网络安全产品威胁检测能力的标配。赛可达实验室愿与用户、安全厂商、测评机构、科研单位合作，共同努力，提升威胁防护水平，使网络更安全。”

在赛可达实验室首批网络安全产品威胁检测能力测评中，奇安信天擎终端安全管理系统(EDR)(以下简称“天擎EDR”)率先通过了测试，并获得了国内首张“东方之星威胁检测能力”证书。本次测试共包含三个部分：ATT&CK技术覆盖面测试、基于场景的攻击链识别与深度检测以及反病毒检出与防护测试。测试结果显示，天擎EDR的ATT&CK技术覆盖数量达到120个，可深度识别多种技术组合攻击的完整攻击链并产生告警，同时病毒查杀率达到了99.98%。