针对EDR检测能力评比的年度评估计划MITRE ATT&CK Evaluations，自2019年开始每年举行，然而今年有3家主要安全厂商宣布退出，引发业界对该计划的公信力产生质疑。

根据安全新闻网站Infosecurity Magazine的报道，6月微软宣布不参加今年MITRE Engenuity ATT&CK Evaluations: Enterprise的测评，9月12日SentinelOne与Palo Alto Networks也确认将退出今年的测试。由于微软去年底曾利用测评结果推广Microsoft Defender XDR，今年却带头宣布不参与MITRE测评，相当令人意外。对于不参加测评的原因，3家公司不约而同表示，希望专注于产品的研发与创新。

对此，我们也通过代理商及公关公司进行了了解。SentinelOne与Palo Alto Networks均重申以12日发布的声明为主，SentinelOne强调，他们仍是MITRE坚定的支持者与倡导者，但根据内部决策，计划将资源转向以客户为中心的项目以及产品发展路线图。

究竟这些安全厂商退出的理由是什么？有安全专家认为，原因可能与测评已偏离初衷有关。CrowdStrike工程总监Igal Gofman形容，这项测评就像网络安全的奥林匹克，是皇冠上的明珠，参与的安全厂商常以此标榜产品能力。但他也指出，近年来这一年度测评逐渐变成厂商的舞台，更像是“厂商的剧场（Vendor Theater）”，企业投入大量资源只为赢得声誉，而非真正推动安全能力提升。此外，目前MITRE与美国网络安全和基础设施安全局（CISA）面临预算削减的压力，也让部分厂商开始考虑退出的可能性。

Infosecurity Magazine向MITRE首席技术官Charles Clancy进一步了解此事，他透露负责相关测评的团队每年都试图提高难度，但今年可能确实做得过头了。他表示，MITRE为了推动整个行业向前发展，每年都会设计更具挑战性的测试内容，促使厂商为取得更好成绩而升级产品。然而有时未能把握好平衡。为此，MITRE计划在明年重启供应商论坛，与业界沟通并共同设定每年的测试目标。但这种因应试方反映考试范围太广、准备过于耗时、难度过高，出题方才回头协商出题方式的情况，恐怕会影响MITRE企业评估的公信力。

另一个值得关注的现象是，Infosecurity Magazine取得了网络监控软件解决方案厂商ManageEngine的说法，该公司表示正在打造EDR解决方案，并计划参与Gartner端点防护平台（EPP）的魔力象限，以及MITRE明年举办的测评。这种大厂退出、新兴厂商积极加入的情况，是否会让MITRE的测评日益局限，演变为仅由新兴厂商展示产品实力的舞台？对于企业在实际选型过程中需要全面评估市场各类解决方案的需求而言，该测评是否还能持续提供参考价值？仍有待观察。