Elastic 在 AV-Comparatives EPR Test 2025 中表现出色:深入解析

原创 于 2025-09-23 09:41:03 发布 · 1.1k 阅读 · 11 ·
CC 4.0 BY-SA版权
本文为博主原创文章,未经博主允许不得转载。
文章标签:

#运维 #elasticsearch #大数据 #搜索引擎 #全文检索 #安全威胁分析 #安全性测试

作者:来自 Elastic Roxana Gheorghe

在由复杂、多阶段攻击定义的威胁环境中,企业需要的不仅是能够检测威胁的 endpoint security 解决方案,还要求其能够主动防御,并在意外发生时实现快速响应。Elastic Security 在最近的 AV-Comparatives 评估中表现出色,达到了 99.3% 的惊人检测率。这个在 Endpoint Prevention and Response (EPR) Test 中,Active Response 和 Passive Response 方法都保持一致的高检测率,凸显了 Elastic Security 能力的多样性和稳健性,展示了对不同攻击向量的强大保护能力。

什么是 EPR Test?

AV-Comparatives 的 EPR Test 是业内最严格的评估之一。它模拟复杂、真实的攻击场景,覆盖完整的 kill chain,包括:

  • Endpoint compromise 和 foothold(例如:初始访问、执行和持久化)

  • 内部传播(例如:权限提升、横向移动和凭证窃取)

  • 资产泄露(例如:数据外泄、命令与控制、影响)

EPR Test 模拟类似 APT 的多阶段攻击,而非依赖合成恶意软件样本。它基于 MITRE ATT&CK® 框架评估 endpoint prevention 和 response 解决方案,涵盖:

阶段 1:Endpoint Compromise 和 Foothold

  • 初始访问、执行和持久化

  • 通过可移动介质传播

  • 恶意文档/脚本

  • 注册表修改

阶段 2:内部传播

  • 权限提升、横向移动和凭证访问

  • 定时任务/启动守护进程

  • 不安全凭证

  • 远程服务利用

阶段 3:资产泄露

  • 收集、命令与控制和数据外泄

  • 数据编码

  • 输入和屏幕捕获

  • 应用层协议

所有参与者都会在两个维度上评分:

  • Active Response:产品自动阻止攻击。

  • Passive Response:产品检测并警报活动,为分析人员提供可操作数据。

此外,测试还量化了:

  • 运营准确性成本(误报、管理开销)

  • 流程延迟成本(生产力影响)

  • 5,000 endpoint / 5 年部署的总拥有成本(TCO)

AV-Comparatives 企业 CyberRisk Quadrant™

AV-Comparatives 认证 EPR 产品奖

为了在所有参与者之间进行有意义的比较,AV-Comparatives 开发了 Enterprise CyberRisk Quadrant,该指标考虑了上述所有方面。Elastic Security 获得了认证(Certified)状态,意味着在所有关键领域表现出高水平,证实了该产品符合 AV-Comparatives 创始人兼 CEO Andreas Clementi 所述的严格评估标准:

Elastic 在 AV-Comparatives 2025 Endpoint Prevention and Response Test 中取得了优异成绩。该产品在 Active 和 Passive Response 方法中表现稳定,凸显了其在广泛攻击向量下提供可靠保护的能力。

Elastic Security 在测试中的表现

指标

Elastic Security 结果

解读

Active Response(防御)

99.3%

自动阻止在攻击链的大多数阶段都有效

Passive Response(检测)

99.3%

警报附带 MITRE ATT&CK 映射,辅助分级和取证工作流

运营准确性成本

Low

由于检测调优,影响最小

流程延迟成本

None

不会中断用户工作流程

这些结果的重要性

  1. 防御为先
    99.3% 的 Active Response 率意味着 Elastic Security 能够在几乎所有测试案例中阻止威胁扩散。这包括在早期阶段如执行、持久化或初始立足点中中断攻击 —— 非常有价值,因为越早检测通常意味着损害越小。

  2. 低噪声,最小干扰
    误报(错误标记的良性行为)和工作流程延迟通常是隐性风险;它们可能不会成为头条新闻,但会削弱信心、降低生产力并增加成本。Elastic Security 在本次测试中表现出的低运营准确性成本和零工作流程延迟表明,强大的安全性不必以牺牲可用性为代价。

  3. 平衡的总拥有成本(TCO)
    测试不仅考虑购买和许可成本,还包括响应事件、人员配备、误报及潜在泄露后果的成本。Elastic Security 的优异表现表明,其解决方案在长期内具有良好的价值。

  4. 全面保护
    由于测试涵盖攻击的多个阶段,它奖励那些不仅仅检测恶意软件特征的供应商。Elastic Security 在初始入侵、传播和资产泄露阶段的表现显示了深度 —— 不同层面的保护、良好的检测能力,以及为管理员提供有效修复数据的能力。

结论

Elastic Security 在 AV-Comparatives EPR Test 2025 中的结果再次确认了其作为领先的 endpoint prevention、detection 和 response 解决方案的地位。凭借近乎完美的防御率、最小误报、零工作流程延迟以及有利的总拥有成本预测,它证明了企业安全不必在强大保护和运营效率之间做权衡。

开始使用 Elastic Security

加入越来越多信任 Elastic Security 保护其组织免受攻击的企业行列。体验确保你的 endpoints 和整个组织免受最新威胁保护的安心感。开始你的 Elastic Security 免费试用,发现我们的保护能带来的不同。访问 elastic.co/security 了解更多。


本文中描述的任何功能或特性发布时间和时机均由 Elastic 全权决定。任何当前不可用的功能或特性可能无法按时或根本无法交付。

原文:https://www.elastic.co/blog/elastic-av-comparatives-epr-test-2025

博客
Elastic 线下 Meetup 将于 2026 年 1 月 10 号下午在北京举行
11-24 1913
2026年ElasticMeetup北京站将于1月10日在腾讯北京总部举办。活动邀请Elastic、腾讯及新智锦绣专家分享前沿技术,包括Elasticsearch向量搜索与AI应用、MCP超级大脑在智能运维中的实践、腾讯云ES的AI能力建设,以及搜索范式从排序到过滤的转变等主题。现场提供茶歇交流机会,并有抽奖环节。报名需实名登记,成功报名后需联系工作人员获取访客码。活动详情及报名链接:https://elastic.huodongxing.com/event/5835577361800
博客
Elastic 线下 Meetup 将于 2025 年 12 月 6 号下午在西安举行
10-20 2678
2025年ElasticMeetup成都站将于12月6日在西安阿里巴巴C1栋举办,聚焦AI搜索技术前沿。活动邀请Elastic社区布道师刘晓国、言古科技王传健、阿里云张粲宇等专家,分享向量搜索、多模态知识库构建、AI搜索趋势等议题。包含主题演讲、茶歇交流及抽奖环节,需提前报名并实名入场。报名链接:https://8181722436173.huodongxing.com/event/8831089715600。
博客
Elastic:如何成为一名 Elastic 认证工程师,Elastic 认证分析师及 Elastic 认证可观测性工程师
10-28 2万+
Elasticsearch 无疑是是目前世界上最为流行的大数据搜索引擎。根据 DB - Engines 的统计,Elasticsearch 雄踞排行榜第一名,并且市场还在不断地扩大:能够成为一名 Elastic 认证工程师也是很多开发者的梦想。这个代表了 Elastic 的最高认证,在业界也得到了很高的认知度。得到认证的工程师,必须除了具有丰富的 Elastic Stack 知识,而且必须有丰富的操作及有效的解决问题的能力。拥有这个认证证书,也代表了个人及公司的荣誉。针对个人的好处是,你可以..
博客
Elastic:开发者上手指南
02-25 16万+
你们好,我是Elastic的刘晓国。如果大家想开始学习Elastic的话,那么这里将是你理想的学习园地。在我的博客几乎涵盖了你想学习的许多方面。在这里,我来讲述一下作为一个菜鸟该如何阅读我的这些博客文章。我们可以按照如下的步骤来学习:1)Elasticsearch简介:对Elasticsearch做了一个简单的介绍2)Elasticsearch中的一些重要概念:cluster,n..........................................................
博客
Elastic:培训视频 - ​在生产环境中配置 Fleet Server 和 Elastic Agent 之间的安全
01-06 1万+
在这篇文章中,我将会把我写的有些内容录制成视频,供大家参考。希望对大家有所帮助。优酷的视频频道地址在这里。Elastic 简介及Elastic Stack 安装:优酷,腾讯 Elastic Stack docker 部署:优酷,腾讯 Elasticsearch中的一些重要概念(Cluster/Shards/Replica/Document/Type/Index):优酷,腾讯 开始使用El...............
博客
Elasticsearch 简介
08-08 17万+
Elasticsearch是一个非常强大的搜索引擎。它目前被广泛地使用于各个IT公司。Elasticsearch是由Elastic公司创建并开源维护的。它的开源代码位于https://github.com/elastic/elasticsearch。同时,Elastic公司也拥有Logstash及Kibana开源项目。这个三个开源项目组合在一起,就形成了 ELK软件栈。他们三个共同形成了一个强大的...
博客
用变量控件提升 Kibana 仪表板的互动性
12-05 760
Kibana 8.18+版本引入了变量控件功能,为用户提供更灵活的仪表板交互体验。这些控件可直接嵌入ES|QL查询中,允许对单个可视化进行筛选、调整时间间隔或更改分组字段,而不会影响其他面板。用户可以通过查询编辑器快速创建控件,支持多值选择、函数切换等操作。该功能不仅适用于仪表板,也能在Discover中使用。变量控件采用服务器端验证确保安全性,未来还将增加更多功能如链式操作、新控件类型等。这一增强功能显著提升了数据分析和监控效率。
博客
EDB EPAS 通过 PostgreSQL 连接器同步数据到 Elasticsearch
12-04 640
本文介绍了使用Elasticsearch PostgreSQL Connector实现EnterpriseDB EPAS与Elasticsearch数据同步的方法。该方案通过官方集成工具,将关系型数据库的OLTP能力与ES的全文检索和分析优势结合,支持近实时同步。详细演示了Docker环境下连接器的配置流程,包括证书处理、网络设置等关键步骤,并展示了同步后的数据查询和可视化操作。这种集成方式有效解决了数据孤岛问题,为企业构建实时数据平台提供了高效解决方案。
博客
Elastic Streams 介绍 - 9.2
12-04 445
摘要:Streams通过AI技术简化日志管理流程,实现日志的智能解析、自动分区、事件监测、保留策略和质量控制。它允许将所有日志发送至单一入口点,由系统自动完成结构化处理、分类存储和异常检测,显著降低运维复杂度。该方案帮助团队快速将原始日志转化为可操作洞察,提升故障排查效率,确保数据可靠性,同时优化存储成本。Streams使日志管理从被动记录转变为主动监控工具,为SRE和DevOps团队提供端到端的智能化日志处理解决方案。
博客
Elasticsearch 中的文档级基于属性的访问控制 - ABAC
12-04 1027
本文介绍了如何在Elasticsearch中实现基于属性的访问控制(ABAC)。通过利用Lucene7.1的CoveringQuery特性和Elasticsearch6.1的terms_set查询,结合X-Pack安全功能中的模板化角色查询机制,可以构建比传统基于角色访问控制(RBAC)更灵活的ABAC方案。文章详细演示了如何使用terms_set查询实现"列表AND"逻辑,并通过用户元数据注入属性值来限制文档访问。最后展示了一个包含安全级别、项目列表和认证日期检查的综合ABAC示例,说
博客
Elasticsearch 中使用 NVIDIA cuVS 实现最高快 12 倍的向量索引速度:GPU 加速第 2 章
12-04 813
Elasticsearch通过与NVIDIA合作集成GPU加速技术,显著提升了向量索引性能。新推出的Elasticsearch-GPU插件利用NVIDIA cuVS库实现高效向量搜索,在测试中展现出12倍的索引吞吐量提升和7倍的合并加速,同时降低CPU使用率。该技术计划在2026年初发布的Elasticsearch 9.3中作为技术预览版推出,为大规模向量工作负载提供更强大的处理能力。
博客
Elastic 与 Accenture 在 GenAI 数据准备方面的合作
12-03 571
Elastic与埃森哲合作推出面向生成式AI的数据准备引擎解决方案,旨在解决企业采用AI时面临的数据分散、缺乏上下文等挑战。该方案整合Elasticsearch的搜索能力、埃森哲的70多个预建连接器及AWS云服务,提供自动化数据集成、安全合规管理、语义搜索等功能,帮助构建统一的AI就绪知识库。通过AWS Marketplace快速部署,该方案支持医疗、金融等多行业实现从AI实验到生产落地的转型,加速生成式AI的商业价值实现。
博客
ES|QL 在 9.2:智能查找连接和时间序列支持
12-03 775
Elasticsearch 9.2对ES|QL查询语言进行了三项重要更新:1)增强LOOKUP JOIN功能,支持多字段连接和复杂表达式;2)新增TS命令用于时间序列分析;3)推出INLINESTATS命令保留原始数据同时进行聚合。这些改进显著提升了数据分析的灵活性、性能和易用性。此外,Kibana Discover新增了直观的lookup索引管理界面,并支持多种新函数。底层优化使查询效率大幅提升,部分场景性能可提高1000倍。
博客
Elasticsearch:专用向量数据库很快就会被遗忘,事实上它从未流行过
12-03 1521
摘要:随着深度学习和大模型的兴起,向量搜索技术从学术研究走向工业应用,但专用向量数据库的独立赛道正面临崩塌。各大传统数据库和云服务商纷纷集成向量搜索功能,技术同质化严重且缺乏壁垒。实际应用中,单纯的向量搜索难以满足需求,"混合搜索"(结合结构化、非结构化和向量数据)成为共识。专用向量数据库因技术局限和生态惯性难以突围,未来或将作为补充能力融入现有数据平台,而非独立存在。向量搜索终将成为数据库的标配功能,而非独立品类。
博客
Elasticsearch:在隔离环境中安装 ELSER 模型
12-02 756
​在我之前的文章 “Elasticsearch:部署 ELSER - Elastic Learned Sparse EncoderR”,我描述了如何安装 ELSER 模型。在今天的文章中,我来讲讲如何在隔离的环境中安装 ELSER 模型。如果你在有网路的情况下,最容易安装 ELSER 的方法是是使用 inference API。我们可以通过如下的方式来进行。为了测试的方便,我们可以使用如下的方法来删除已经安装好的 ELSER 模型:​
博客
Elastic 在首批获得 AWS Agentic AI 专项认证的合作伙伴中处于领先地位
12-02 1164
Elastic获得AWSAgenticAI专项认证,成为首批获此认证的ISV之一。该认证认可Elastic在开发先进agentic解决方案方面的能力,帮助客户提升业务效率和生产力。Elastic的创新平台通过上下文工程为AI代理提供可靠记忆和精准数据检索,解决大语言模型在跨会话记忆方面的局限。其AgentBuilder工具简化了构建具备上下文感知能力AI助手的过程,支持多模型提供商和定制化开发。这一认证验证了Elastic在生产就绪agenticAI解决方案方面的实力,现已在AWS Marketplace提
博客
用 Elasticsearch 构建一个 ChatGPT connector 来查询 GitHub issues
12-02 1048
本文介绍如何构建自定义ChatGPT连接器,通过部署使用混合搜索查询GitHub issues的Elasticsearch MCP服务器。文章详细说明了实现OpenAI要求的search和fetch工具的方法,包括使用ELSER语义搜索和BM25文本匹配的混合搜索技术。作者演示了在Google Colab上部署服务器并通过ngrok公开URL的步骤,使ChatGPT能连接内部数据源。最终实现了用自然语言查询GitHub issues和PRs的功能,展示了如何将ChatGPT与企业内部数据无缝集成。
博客
使用 LangChain 和 Elasticsearch 开发一个 agentic RAG 助手
11-29 975
​这篇博客深入探讨了 agentic RAG 工作流,解释了它们的关键特性和常见设计模式。它进一步展示了如何通过一个使用 Elasticsearch 作为向量存储、使用 LangChain 构建 agentic RAG 框架的实践示例来实现这些工作流。最后,文章简要讨论了设计和实现此类架构的最佳实践和相关挑战。你可以通过这个 Jupyter notebook 跟着一起创建一个简单的 agentic RAG 管道。
博客
混合搜索无需头疼:使用 retrievers 简化混合搜索
11-28 982
本文介绍了Elasticsearch中混合搜索的新特性——多字段查询格式,它简化了词法和语义搜索的整合过程。传统混合搜索需要深入了解索引结构和复杂的查询配置,而新的linear和RRF检索器通过自动分组查询字段、归一化分数范围,使混合搜索更易实现。文章详细展示了如何通过简洁的多字段查询语法替代冗长的传统查询,支持字段加权、通配符匹配和默认字段查询等功能。这些改进使开发者无需深入了解索引细节即可构建高效的混合搜索方案,适用于Elasticsearch 8.19+、9.1+和Serverless版本。
博客
Elastic Observability 的 AIOps:现代 AIOps 与 Log Intelligence
11-27 1016
摘要:Elastic最新发布的Observability 9.2(Streams)通过AI驱动的日志智能技术革新AIOps实践。Streams工具集提供自动日志分类、多维异常检测和增强根因分析能力,能快速处理PB级日志数据,将非结构化日志转化为可执行洞察。该方案特别适用于云原生环境,通过将日志与指标、追踪数据关联,显著提升故障诊断效率。研究表明,使用Streams后,原本需要数小时的手动日志分析可缩短至几分钟完成,使团队能更专注于业务创新而非故障排查。(149字)
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值