Conteúdo Geral
Testes independentes de soluções EDR
Brasiline
6 de setembro de 2022

Consultoria SE Labs concedeu à Kaspersky EDR a classificação mais alta em testes independentes baseados em ataques do mundo real.

Os resultados de um teste recente – Enterprise Advanced Security (EDR): Enterprise 2022 Q2 – DETECTION – foram revelados em um relatório da SE Labs em julho. A empresa britânica vem testando as soluções de segurança dos principais fornecedores há vários anos. Neste teste mais recente, o produto comercial Kaspersky Endpoint Detection and Response Expert obteve uma pontuação absoluta de 100% na detecção de ataques direcionados e recebeu a classificação mais alta possível – AAA.

Em 2021, o produto foi testado em seu Teste de Segurança Avançada (EDR). Desde então, a metodologia foi aprimorada e o teste em si foi dividido em duas partes: Detecção e Proteção. Desta vez, o SE Labs estudou a eficácia das soluções de segurança para detectar atividades maliciosas. Além do Kaspersky EDR Expert, quatro outros produtos participaram do teste: Broadcom Symantec, CrowdStrike, BlackBerry e outra solução anônima.

Sistema de Classificação

O teste foi composto de várias verificações, mas para ter uma ideia dos resultados, basta olhar para as Avaliações de Precisão Total. Isso basicamente mostra a acurácia de cada solução na detecção de ataques em diferentes estágios e incomodou o usuário com falsos positivos. Para uma clareza visual ainda maior, as soluções participantes foram classificadas em uma escala que vai de AAA (para produtos com alta Avaliação de Precisão Total) até D (para as soluções menos eficazes).

As Avaliações de Precisão Total consistem em pontuações em duas categorias:

  • Precisão da detecção: leva em consideração o sucesso da detecção de cada estágio significativo de um ataque.
  • Avaliação de Software Legítimo: quanto menos falsos positivos gerados pelo produto, maior a pontuação.

Há um outro indicador importante: Ataques Detectados. Essa é a porcentagem de ataques detectados pela solução durante pelo menos uma das etapas, dando à equipe de Segurança da Informação a chance de responder ao incidente.

Como a Kaspersky, parceira Brasiline, foi testada:

Idealmente, o teste deve revelar como a solução se comportaria durante um ataque real. Com isso em mente, o SE Labs tentou tornar o ambiente de teste o mais realista possível. Primeiro, não foram os desenvolvedores que configuraram as soluções de segurança para o teste, mas os próprios testadores da SE Labs, que receberam instruções do fornecedor – como as equipes de segurança da informação dos clientes costumam fazer.

Em segundo lugar, os testes foram realizados em toda a cadeia de ataque – desde o primeiro contato até o roubo de dados ou algum outro resultado. Por fim, os testes foram baseados nos métodos de ataque de quatro grupos de APT reais e ativos:

  1. Wizard Spider, que tem como alvo corporações, bancos e até hospitais. Entre suas ferramentas está o Trojan bancário Trickbot.
  2. Sandworm, que visa principalmente agências governamentais e é famoso por seu malware NotPetya, que se disfarçava de ransomware, mas na verdade destruía os dados das vítimas além da recuperação.
  3. Lazarus, que se tornou amplamente conhecido após o ataque em larga escala à Sony Pictures em novembro de 2014. Anteriormente focado no setor bancário, o grupo recentemente voltou sua atenção para as trocas de criptomoedas.
  4. Operação Wocao, que visa órgãos governamentais, prestadores de serviços, empresas de energia e tecnologia e o setor de saúde.

Testes de detecção de ameaças

No teste de Precisão de Detecção, o SE Labs estudou a eficácia com que as soluções de segurança detectam ameaças. Isso envolveu a realização de 17 ataques complexos baseados em quatro ataques do mundo real dos atores Wizard Spider, Sandworm, Lazarus Group e Operation Wocao, nos quais foram destacados quatro estágios significativos, cada um consistindo em uma ou mais etapas interconectadas:

  • Entrega/Execução
  • Ação
  • Escalonamento de Privilégios/Ação
  • Movimentação Lateral/Ação

A lógica de teste não exige que a solução detecte todos os eventos em qualquer estágio específico do ataque; basta identificar pelo menos um deles.

Entrega/Execução. Esta etapa testou a capacidade da solução de detectar um ataque em seu primeiro estágio: no momento da entrega — por exemplo, via um e-mail de phishing ou link malicioso — e execução do código perigoso. Em condições reais, o ataque geralmente é interrompido por aí, já que a solução de segurança simplesmente não permite que o malware prossiga.

Ação. Aqui, os pesquisadores estudaram o comportamento da solução quando os invasores já obtiveram acesso ao endpoint. Era necessário detectar uma ação ilegítima por parte do software.

Escalonamento de Privilégios/Ação. Em um ataque bem-sucedido, o invasor tenta obter mais privilégios no sistema e causar ainda mais danos. Se a solução de segurança monitora esses eventos ou o próprio processo de escalonamento de privilégios, ela recebe pontos extras.

Movimento Lateral/Ação. Ao penetrar o endpoint, o invasor pode tentar infectar outros dispositivos na rede corporativa. Isso é conhecido como movimento lateral. Os testadores verificaram se as soluções de segurança detectaram tentativas de tal movimento ou quaisquer ações possibilitadas como consequência disso.

O Kaspersky EDR Expert obteve 100% de pontuação neste segmento; ou seja, nem um único estágio de qualquer ataque passou despercebido.

Fonte

Sobre a Brasiline

A Brasiline construiu, em mais de 19 anos de mercado, uma equipe que é referência no setor, sempre investindo na qualificação dos profissionais e na implantação de soluções eficazes, baseadas nas melhores práticas de projetos e processos. Chamamos esse nosso time de Experts Brasiline.

Uma equipe de profissionais com ampla experiência no mercado de TI cibersegurança e missão crítica, com objetivo de prestar uma consultoria criteriosa, avaliando as reais necessidades do cliente e sugerir a melhor alternativa.

Nosso objetivo é garantir um alto nível de serviço e qualidade nos projetos, para que a sua TI seja usada de forma estratégica, a favor dos seus negócios e das pessoas envolvidas. Assim, sua empresa pode focar no que realmente interessa: no seu core business. Conte com nossos Experts e garanta para sua operação um suporte técnico ágil e eficiente.

Conheça nossos cases de sucesso
Entre em contato conosco

Mais Recentes
FortiSRA: Acesso Remoto Seguro para Sistemas OT
Brasiline
4 de novembro de 2024
O FortiSRA da Fortinet é uma solução de acesso remoto seguro adaptada para ambientes OT, projetada para gerenciar os riscos […]
Brasil vê ciberataques crescerem 38% no primeiro trimestre
Brasiline
28 de outubro de 2024
Especialista em segurança da informação destaca a importância de empresas adotarem soluções que aumentem a sua proteção. Uma delas é […]
Cibersegurança, 
Infraestrutura e Cloud. 
Este é o nosso negócio!
Para saber mais sobre os produtos e serviços Brasiline, fale com um de nossos consultores
© Copyright 2024 Brasiline Tecnologia - Desenvolvido por Skyflare - Política de Privacidade | Termos de Serviço
Cadastre-se e fale com um especialista via WhatsApp!
calendar-fullcross
Como podemos te ajudar?