Testes independentes de soluções EDR

Consultoria SE Labs concedeu à Kaspersky EDR a classificação mais alta em testes independentes baseados em ataques do mundo real.

A melhor maneira de provar a eficácia de uma solução de segurança é testá-la em condições tão reais quanto possível, usando táticas e técnicas típicas de ataques direcionados. A Kaspersky participa regularmente desses testes e está no topo das classificações.

Os resultados de um teste recente – Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION – foram revelados em um relatório da SE Labs em julho. A empresa britânica vem testando as soluções de segurança dos principais fornecedores há vários anos. Neste teste mais recente, nosso produto comercial Kaspersky Endpoint Detection and Response Expert obteve uma pontuação absoluta de 100% na detecção de ataques direcionados e recebeu a classificação mais alta possível – AAA.

Esta não é a primeira análise da SE Labs de nossos produtos para proteger a infraestrutura corporativa contra ameaças sofisticadas. A empresa executou anteriormente seu teste de resposta à violação (do qual participamos em 2019). Em 2021, nosso produto foi testado em seu Teste de Segurança Avançada (EDR). Desde então, a metodologia de teste foi aprimorada e o teste em si foi dividido em duas partes: Detecção e Proteção. Desta vez, o SE Labs estudou a eficácia das soluções de segurança para detectar atividades maliciosas. Além do Kaspersky EDR Expert, quatro outros produtos participaram do teste: Broadcom Symantec, CrowdStrike, BlackBerry e outra solução anônima.

Sistema de Classificação

O teste foi composto de várias verificações, mas para ter uma ideia dos resultados, basta olhar para as Avaliações de Precisão Total. Isso basicamente mostra a acurácia de cada solução na detecção de ataques em diferentes estágios e incomodou o usuário com falsos positivos. Para uma clareza visual ainda maior, as soluções participantes foram classificadas em uma escala que vai de AAA (para produtos com alta Avaliação de Precisão Total) até D (para as soluções menos eficazes). Como mencionado, nossa solução obteve um resultado de 100% e uma classificação AAA.

As Avaliações de Precisão Total consistem em pontuações em duas categorias:

  • Precisão da detecção: leva em consideração o sucesso da detecção de cada estágio significativo de um ataque.
  • Avaliação de Software Legítimo: quanto menos falsos positivos gerados pelo produto, maior a pontuação.

Há um outro indicador importante: Ataques Detectados. Essa é a porcentagem de ataques detectados pela solução durante pelo menos uma das etapas, dando à equipe de Segurança da Informação a chance de responder ao incidente.

Como nós fomos testados

Idealmente, o teste deve revelar como a solução se comportaria durante um ataque real. Com isso em mente, o SE Labs tentou tornar o ambiente de teste o mais realista possível. Primeiro, não foram os desenvolvedores que configuraram as soluções de segurança para o teste, mas os próprios testadores da SE Labs, que receberam instruções do fornecedor – como as equipes de segurança da informação dos clientes costumam fazer. Em segundo lugar, os testes foram realizados em toda a cadeia de ataque – desde o primeiro contato até o roubo de dados ou algum outro resultado. Por fim, os testes foram baseados nos métodos de ataque de quatro grupos de APT reais e ativos:

  • Wizard Spider, que tem como alvo corporações, bancos e até hospitais. Entre suas ferramentas está o Trojan bancário Trickbot.
  • Sandworm, que visa principalmente agências governamentais e é famoso por seu malware NotPetya, que se disfarçava de ransomware, mas na verdade destruía os dados das vítimas além da recuperação.
  • Lazarus, que se tornou amplamente conhecido após o ataque em larga escala à Sony Pictures em novembro de 2014. Anteriormente focado no setor bancário, o grupo recentemente voltou sua atenção para as trocas de criptomoedas.
  • Operação Wocao, que visa órgãos governamentais, prestadores de serviços, empresas de energia e tecnologia e o setor de saúde.

Testes de detecção de ameaças

No teste de Precisão de Detecção, o SE Labs estudou a eficácia com que as soluções de segurança detectam ameaças. Isso envolveu a realização de 17 ataques complexos baseados em quatro ataques do mundo real dos atores Wizard Spider, Sandworm, Lazarus Group e Operation Wocao, nos quais foram destacados quatro estágios significativos, cada um consistindo em uma ou mais etapas interconectadas:

A lógica de teste não exige que a solução detecte todos os eventos em qualquer estágio específico do ataque; basta identificar pelo menos um deles. Por exemplo, se o produto não percebeu como a carga chegou ao dispositivo, mas detectou uma tentativa de executá-la, ele passou com sucesso no primeiro estágio.

Entrega/Execução. Esta etapa testou a capacidade da solução de detectar um ataque em seu primeiro estágio: no momento da entrega — por exemplo, via um e-mail de phishing ou link malicioso — e execução do código perigoso. Em condições reais, o ataque geralmente é interrompido por aí, já que a solução de segurança simplesmente não permite que o malware prossiga. Mas para os propósitos do teste, a cadeia de ataque continuou para ver como a solução lidaria com os próximos estágios.

Ação. Aqui, os pesquisadores estudaram o comportamento da solução quando os invasores já obtiveram acesso ao endpoint. Era necessário detectar uma ação ilegítima por parte do software.

Escalonamento de Privilégios/Ação. Em um ataque bem-sucedido, o invasor tenta obter mais privilégios no sistema e causar ainda mais danos. Se a solução de segurança monitora esses eventos ou o próprio processo de escalonamento de privilégios, ela recebe pontos extras.

Movimento Lateral/Ação Ao penetrar o endpoint, o invasor pode tentar infectar outros dispositivos na rede corporativa. Isso é conhecido como movimento lateral. Os testadores verificaram se as soluções de segurança detectaram tentativas de tal movimento ou quaisquer ações possibilitadas como consequência disso.

O Kaspersky EDR Expert obteve 100% de pontuação neste segmento; ou seja, nem um único estágio de qualquer ataque passou despercebido.

 Avaliações de software legítimas

Uma boa proteção deve não apenas repelir ameaças de maneira confiável, mas também não impedir que o usuário use serviços seguros. Para isso, os pesquisadores introduziram uma pontuação separada: quanto maior, menos frequentemente a solução sinalizou erroneamente sites ou programas legítimos – especialmente os populares – como perigosos.

Mais uma vez, o Kaspersky EDR Expert obteve 100%.

Resultados do Teste

Com base em todos os resultados do teste, o Kaspersky Endpoint Detection and Response Expert recebeu a classificação mais alta disponível: AAA. Três outros produtos receberam a mesma classificação: Broadcom Symantec Endpoint Security e Cloud Workload Protection, CrowdStrike Falcon e uma solução anônima. No entanto, apenas nós e a Broadcom Symantec obtivemos uma pontuação de 100% nas classificações de precisão total.

 

Dicas