EDR Solutions: i risultati di test indipendenti

SE Labs ha assegnato il punteggio massimo a Kaspersky EDR in occasione di test indipendenti condotti su attacchi simulati nel mondo reale.

Il modo migliore per dimostrare l’efficacia di una soluzione di sicurezza è testarla nelle situazioni più vicine all’esperienza reale, utilizzando tattiche e tecniche tipiche di attacchi mirati. Kaspersky partecipa regolarmente a tali testi e si trova al top della classifica.

SE Labs ha pubblicato i risultati di un recente test nel report del mese di luglio — Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION. La società britannica mette alla prova le soluzioni di sicurezza dei principali vendor ormai da molti anni. Nel suo ultimo test, il nostro prodotto per aziende Kaspersky Endpoint Detection and Response Expert  ha ricevuto il punteggio assoluto del 100% per quanto riguarda il rilevamento di attacchi mirati, conseguendo il rating massimo: AAA.

Non si tratta della prima analisi a cui SE Labs sottopone i nostri prodotti per la protezione delle infrastrutture aziendali contro minacce sofisticate: l’azienda aveva infatti già effettuato un Breach Response Test (a cui abbiamo partecipato nel 2019). Nel 2021, il nostro prodotto era stato sottoposto al loro Advanced Security Test (EDR). Da allora, la metodologia di test è stata ottimizzata e lo stesso test è stato suddiviso in due parti: Detection e Protection (Rilevamento e Protezione). Questa volta SE Labs ha verificato l’efficienza delle soluzioni di sicurezza nel rilevare attività pericolose. Oltre a Kaspersky EDR Expert, altri quattro prodotti hanno partecipato al test: Broadcom Symantec, CrowdStrike, BlackBerry e un’altra soluzione di cui non è stato rivelato il nome.

Il sistema di valutazione

Il test era composto da diverse verifiche; per avere un’idea dei risultati, potete dare un’occhiata alla sezione Total Accuracy Ratings. I dati mostrano l’efficienza delle soluzioni di sicurezza nel rilevare gli attacchi in fasi diverse e il numero di falsi positivi. Per maggiore chiarezza visiva, alle soluzioni di sicurezza sono stati assegnati dei valori in lettere: da AAA (prodotti con un rating elevato di Total Accuracy) a D (per le soluzioni meno efficaci). Come menzionato, la nostra soluzione ha ottenuto un punteggio pieno del 100% e un rating AAA.

I Total Accuracy Ratings assegnano i punteggi in due categorie:

  • Detection Accuracy: viene preso in considerazione il buon esito delle rilevazioni di ogni fase significativa di un attacco.
  • Legitimate Software Rating: minore è la quantità di falsi positivi generata dal prodotto, maggiore è il punteggio.

Vi è inoltre un altro indicatore chiave, Attacks Detected, che indica la percentuale di attacchi rilevati dalla soluzione durante almeno una delle fasi, fornendo la possibilità di rispondere al problema alla squadra dell’Information Security.

Come si è svolto il test

In teoria il test dovrebbe far emergere il comportamento della soluzione durante un attacco reale. In quest’ottica, SE Labs ha provato a rendere l’ambiente di test il più realistico possibile. Innanzitutto, le soluzioni di sicurezza non sono state configurate dagli sviluppatori bensì dai tester di SE Labs che hanno ricevuto le opportune istruzioni dal fornitore, proprio come farebbe il team dell’Information Security di un’azienda. In secondo luogo, i test sono stati svolti sull’intera sequenza dell’attacco, dal primo contatto fino al furto dei dati o altri eventi. Infine, i test si sono basati sui metodi di attacco di quattro gruppi APT reali e attivi:

  • Wizard Spider, che ha come obiettivi aziende, banche e anche ospedali. Tra gli strumenti che utilizza troviamo il Trojan bancario Trickbot.
  • Sandworm, il cui target primario è rappresentato da agenzie governative, è tristemente famoso per il malware NotPetya che si camuffa da ransomware ma, in realtà, distrugge i dati delle vittime senza possibilità di recuperarli.
  • Lazarus, noto alle cronache dopo l’attacco su vasta scala alla Sony Pictures del novembre 2014. Precedentemente focalizzato sul settore bancario, oggi il gruppo rivolge l’attenzione all’ exchange di criptovalute.
  • Operation Wocao ha come target agenzie governative, fornitori di servizi, società di energia e tech e il settore sanitario.

Test di rilevamento delle minacce

Durante i test Detection Accuracy, SE Labs ha studiato l’efficienza reale nel rilevare le minacce da parte delle soluzioni di sicurezza. Sono stati effettuati 17 attacchi complessi, basati su quattro attacchi realistici di Wizard Spider, Sandworm, Lazarus Group e Operation Wocao, nei quali sono state identificate quattro fasi cruciali, ognuna delle quali consisteva in uno o più passaggi interconnessi:

La logica del test non richiedeva alla soluzione di rilevare tutti gli eventi in una fase specifica dell’attacco, era sufficiente identificarne almeno uno. Per esempio, se il prodotto non riusciva a rilevare in che modo il payload arrivava al dispositivo ma individuava un tentativo per avviarlo, la prima fase era considerata superata.

Delivery/Execution. Questa fase testa la capacità della soluzione di rilevare un attacco in fase embrionale: al momento della ricezione — per esempio, di una mail di phishing o un link malevolo — e l’esecuzione di un codice pericoloso. In condizioni reali, l’attacco di solito si ferma a questo step, in quanto la soluzione di sicurezza semplicemente non permette al malware di proseguire la sua strada. Tuttavia, ai fini del test, la filiera dell’attacco è stata fatta proseguire in modo da verificare se la soluzione sarebbe stata in grado di affrontare gli step successivi.

Action. In questa fase i ricercatori hanno studiato il comportamento della soluzione quando i cybercriminali sono già riusciti ad accedere all’endpoint. In questo caso è stato richiesto di rilevare un’azione illecita effettuata dal software.

Privilege Escalation/Action. In un attacco con esito vincente, l’intruso cerca di ottenere maggiori privilegi nel sistema e causare danni ancora maggiori. Se la soluzione di sicurezza monitora questo tipo di eventi o lo stesso processo di escalation dei privilegi, vengono concessi punti extra.

Lateral Movement/Action. Una volta penetrati nell’endpoint, i criminali possono cercare di infettare altri dispositivi della rete aziendale. Tale attività viene definita movimento laterale. I tester hanno verificato se le soluzioni di sicurezza erano riuscite a rilevare tentativi di questo tipo o comunque ogni altra azione conseguente a tale attività.

Kaspersky EDR Expert ha ottenuto un punteggio del 100% in quest’area, il che significa che ogni singola fase dell’attacco non è passata inosservata.

Legitimate Software Ratings

Una buona soluzione di sicurezza deve non solo proteggere da possibili attacchi in modo affidabile ma anche far sì che l’utente possa accedere senza problemi a siti / servizi sicuri. Per questa sezione, i ricercatori hanno introdotto un punteggio separato: più è elevato, minore è la frequenza con cui la soluzione contrassegna come pericolosi siti web o programmi in modo erroneo, specie quelli molto conosciuti.

Ancora una volta, Kaspersky EDR Expert ha ottenuto un punteggio del 100%.

I risultati del test

Sulla base dei risultati del test, Kaspersky Endpoint Detection and Response Expert ha conseguito il rating più elevato: AAA. Gli altri tre prodotti hanno ottenuto lo stesso rating: Broadcom Symantec Endpoint Security e Cloud Workload Protection, CrowdStrike Falcon, e la soluzione di cui non è stato rivelato il nome. Tuttavia, soltanto noi e Broadcom Symantec siamo riusciti a ottenere un punteggio del 100% nella sezione Total Accuracy Ratings.

Consigli