Consultoria SE Labs concedeu à Kaspersky EDR a classificação mais alta em testes independentes baseados em ataques do mundo real.
Os resultados de um teste recente – Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION – foram revelados em um relatório da SE Labs em julho. A empresa britânica vem testando as soluções de segurança dos principais fornecedores há vários anos. Neste teste mais recente, o produto comercial Kaspersky Endpoint Detection and Response Expert obteve uma pontuação absoluta de 100% na detecção de ataques direcionados e recebeu a classificação mais alta possível – AAA.
Em 2021, o produto foi testado em seu Teste de Segurança Avançada (EDR). Desde então, a metodologia foi aprimorada e o teste em si foi dividido em duas partes: Detecção e Proteção. Desta vez, o SE Labs estudou a eficácia das soluções de segurança para detectar atividades maliciosas. Além do Kaspersky EDR Expert, quatro outros produtos participaram do teste: Broadcom Symantec, CrowdStrike, BlackBerry e outra solução anônima.
Sistema de Classificação
O teste foi composto de várias verificações, mas para ter uma ideia dos resultados, basta olhar para as Avaliações de Precisão Total. Isso basicamente mostra a acurácia de cada solução na detecção de ataques em diferentes estágios e incomodou o usuário com falsos positivos. Para uma clareza visual ainda maior, as soluções participantes foram classificadas em uma escala que vai de AAA (para produtos com alta Avaliação de Precisão Total) até D (para as soluções menos eficazes).
As Avaliações de Precisão Total consistem em pontuações em duas categorias:
Há um outro indicador importante: Ataques Detectados. Essa é a porcentagem de ataques detectados pela solução durante pelo menos uma das etapas, dando à equipe de Segurança da Informação a chance de responder ao incidente.
Como a Kaspersky, parceira Brasiline, foi testada:
Idealmente, o teste deve revelar como a solução se comportaria durante um ataque real. Com isso em mente, o SE Labs tentou tornar o ambiente de teste o mais realista possível. Primeiro, não foram os desenvolvedores que configuraram as soluções de segurança para o teste, mas os próprios testadores da SE Labs, que receberam instruções do fornecedor – como as equipes de segurança da informação dos clientes costumam fazer.
Em segundo lugar, os testes foram realizados em toda a cadeia de ataque – desde o primeiro contato até o roubo de dados ou algum outro resultado. Por fim, os testes foram baseados nos métodos de ataque de quatro grupos de APT reais e ativos:
Testes de detecção de ameaças
No teste de Precisão de Detecção, o SE Labs estudou a eficácia com que as soluções de segurança detectam ameaças. Isso envolveu a realização de 17 ataques complexos baseados em quatro ataques do mundo real dos atores Wizard Spider, Sandworm, Lazarus Group e Operation Wocao, nos quais foram destacados quatro estágios significativos, cada um consistindo em uma ou mais etapas interconectadas:
A lógica de teste não exige que a solução detecte todos os eventos em qualquer estágio específico do ataque; basta identificar pelo menos um deles.
Entrega/Execução. Esta etapa testou a capacidade da solução de detectar um ataque em seu primeiro estágio: no momento da entrega — por exemplo, via um e-mail de phishing ou link malicioso — e execução do código perigoso. Em condições reais, o ataque geralmente é interrompido por aí, já que a solução de segurança simplesmente não permite que o malware prossiga.
Ação. Aqui, os pesquisadores estudaram o comportamento da solução quando os invasores já obtiveram acesso ao endpoint. Era necessário detectar uma ação ilegítima por parte do software.
Escalonamento de Privilégios/Ação. Em um ataque bem-sucedido, o invasor tenta obter mais privilégios no sistema e causar ainda mais danos. Se a solução de segurança monitora esses eventos ou o próprio processo de escalonamento de privilégios, ela recebe pontos extras.
Movimento Lateral/Ação. Ao penetrar o endpoint, o invasor pode tentar infectar outros dispositivos na rede corporativa. Isso é conhecido como movimento lateral. Os testadores verificaram se as soluções de segurança detectaram tentativas de tal movimento ou quaisquer ações possibilitadas como consequência disso.
O Kaspersky EDR Expert obteve 100% de pontuação neste segmento; ou seja, nem um único estágio de qualquer ataque passou despercebido.
Sobre a Brasiline
A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.
Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.
Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.